Mozilla ettevõte massi tekkimise kohta Firefoxi lisandmoodulitega. Kõigi brauseri kasutajate jaoks blokeeriti lisandmoodulid digitaalallkirjade genereerimiseks kasutatud sertifikaadi aegumise tõttu. Lisaks märgitakse, et ametlikust kataloogist ei saa uusi lisandmooduleid installida (addons.mozilla.org).
Praegusest olukorrast väljapääs , Mozilla arendajad kaaluvad võimalikke parandusi ja on seni piirdunud vaid olukorra üldise kinnitusega. Mainitakse vaid, et lisandmoodulid muutusid 0. mail pärast 4 tundi (UTC) passiivseks. Sertifikaat pidi uuenema nädal tagasi, kuid millegipärast seda ei juhtunud ja see asjaolu jäi tähelepanuta. Nüüd, mõni minut pärast brauseri käivitamist, kuvatakse hoiatus lisandmoodulite keelamise kohta digiallkirjaga seotud probleemide tõttu ja lisandmoodulid kaovad loendist. Digitaalset allkirja kontrollitakse üks kord päevas või pärast brauseri käivitamist, nii et Firefoxi pikaajalistes eksemplarides ei pruugita lisandmooduleid kohe keelata.
Linuxi kasutajate juurdepääsu lisandmoodulitele juurdepääsu taastamiseks saate keelata digiallkirja kontrollimise, määrates muutuja "xpinstall.signatures.required" väärtuseks "false" failis about:config. See stabiilsete ja beetaversioonide jaoks mõeldud meetod töötab ainult Linuxis ja Androidis; Windowsi ja macOS-i puhul on selline manipuleerimine võimalik ainult igaöistes versioonides ja arendajaversioonis. Võimalusena saab muuta ka süsteemi kella väärtuseks aega enne sertifikaadi aegumist, siis naaseb AMO kataloogist lisandmoodulite installimise võimalus, kuid juba paigaldatud keelamislipp ei eemaldata.
Tuletame meelde, et Firefoxi lisandmoodulite kontrollimine digitaalallkirjade abil oli kohustuslik aprillil 2016. Mozilla sõnul võimaldab digitaalallkirja kontrollimine blokeerida pahatahtlike ja luuravate lisandmoodulite levikut. Mõned lisandmoodulite arendajad Selle positsiooni puhul usuvad nad, et digitaalallkirjaga kohustusliku kontrollimise mehhanism tekitab arendajatele ainult raskusi ja suurendab aega, mis kulub kasutajatele parandusväljaannete toomiseks, ilma et see mõjutaks mingil viisil turvalisust. Neid on palju triviaalseid ja ilmseid vältida automaatset kontrolli lisandmoodulite osas, mis võimaldavad pahatahtlikku koodi märkamatult sisestada, näiteks genereerides käigult toimingu, ühendades mitu stringi ja seejärel käivitades saadud stringi kutsudes eval. Mozilla positsioon Põhjus on selles, et enamik pahatahtlike lisandmoodulite autoreid on laisad ega kasuta pahatahtliku tegevuse varjamiseks selliseid võtteid.
Lisa: Mozilla arendajad paranduse testimise algusest, millest eduka testimise korral peagi ka kasutajaid teavitatakse (otsus väljapakutud paranduse rakendamise kohta pole veel tehtud). Uute lisandmoodulite digitaalallkirja loomine on keelatud, kuni parandus on rakendatud.
Allikas: opennet.ru