Empresa Mozilla sobre el surgimiento de la masa con complementos para Firefox. Para todos los usuarios del navegador, los complementos fueron bloqueados debido a la expiración del certificado utilizado para generar firmas digitales. Además, se observa que es imposible instalar nuevos complementos del catálogo oficial. (addons.mozilla.org).
La salida a esta situación por ahora. , los desarrolladores de Mozilla están considerando posibles soluciones y hasta ahora se han limitado a una confirmación general de la situación. Solo se menciona que los complementos quedaron inactivos después de las 0 horas (UTC) del 4 de mayo. Se suponía que el certificado se renovaría hace una semana, pero por alguna razón esto no sucedió y este hecho pasó desapercibido. Ahora, unos minutos después de iniciar el navegador, se muestra una advertencia sobre la desactivación de complementos debido a problemas con la firma digital y los complementos desaparecen de la lista. La firma digital se verifica una vez al día o después de iniciar el navegador, por lo que en instancias de ejecución prolongada de Firefox, es posible que los complementos no se deshabiliten inmediatamente.
Como solución alternativa para restaurar el acceso a los complementos para los usuarios de Linux, puede desactivar la verificación de firma digital configurando la variable "xpinstall.signatures.required" en "false" en about:config. Este método para versiones estables y beta solo funciona en Linux y Android; para Windows y macOS, dicha manipulación solo es posible en compilaciones nocturnas y en Developer Edition. Como opción, también puede cambiar el valor del reloj del sistema a la hora antes de que caduque el certificado, luego volverá la capacidad de instalar complementos del catálogo de AMO, pero no se eliminará el indicador de desactivación ya instalado.
Le recordamos que la verificación obligatoria de los complementos de Firefox mediante firmas digitales era en abril de 2016. Según Mozilla, la verificación de firma digital le permite bloquear la propagación de complementos maliciosos y de espionaje. Algunos desarrolladores de complementos Con esta postura, creen que el mecanismo de verificación obligatoria mediante firma digital solo crea dificultades a los desarrolladores y conduce a un aumento en el tiempo que lleva llevar las versiones correctivas a los usuarios, sin afectar la seguridad de ninguna manera. Hay muchos triviales y obvios. para evitar la verificación automatizada de complementos que permiten insertar código malicioso sin ser detectado, por ejemplo, generando una operación sobre la marcha concatenando varias cadenas y luego ejecutando la cadena resultante llamando a eval. La posición de Mozilla La razón es que la mayoría de los autores de complementos maliciosos son vagos y no recurren a este tipo de técnicas para ocultar la actividad maliciosa.
Anexo: Desarrolladores de Mozilla sobre el inicio de las pruebas de la solución, que, si se prueba con éxito, pronto se comunicará a los usuarios (aún no se ha tomado la decisión sobre aplicar la solución propuesta). La generación de firmas digitales para nuevos complementos está deshabilitada hasta que se aplique la solución.
Fuente: opennet.ru