Société Mozilla sur l'émergence de la masse avec des modules complémentaires pour Firefox. Pour tous les utilisateurs de navigateurs, les modules complémentaires ont été bloqués en raison de l'expiration du certificat utilisé pour générer les signatures numériques. De plus, il est à noter qu'il est impossible d'installer de nouveaux add-ons depuis le catalogue officiel. (addons.mozilla.org).
La sortie de cette situation pour l'instant , les développeurs de Mozilla réfléchissent à d'éventuelles solutions et se limitent jusqu'à présent à une simple confirmation générale de la situation. Il est seulement mentionné que les modules complémentaires sont devenus inactifs après 0 heure (UTC) le 4 mai. Le certificat était censé être renouvelé il y a une semaine, mais pour une raison quelconque, cela n'a pas eu lieu et ce fait est passé inaperçu. Désormais, quelques minutes après le démarrage du navigateur, un avertissement s'affiche concernant la désactivation des modules complémentaires en raison de problèmes avec la signature numérique, et les modules complémentaires disparaissent de la liste. La signature numérique est vérifiée une fois par jour ou après le lancement du navigateur. Ainsi, dans les instances de Firefox de longue durée, les modules complémentaires peuvent ne pas être désactivés immédiatement.
Comme solution de contournement pour restaurer l'accès aux modules complémentaires pour les utilisateurs Linux, vous pouvez désactiver la vérification de la signature numérique en définissant la variable « xpinstall.signatures.required » sur « false » dans about:config. Cette méthode pour les versions stables et bêta ne fonctionne que sous Linux et Android ; pour Windows et macOS, une telle manipulation n'est possible que dans les builds nocturnes et dans Developer Edition. En option, vous pouvez également modifier la valeur de l'horloge système à l'heure précédant l'expiration du certificat, la possibilité d'installer des modules complémentaires à partir du catalogue AMO reviendra, mais l'indicateur de désactivation déjà installé ne sera pas supprimé.
Rappelons que la vérification obligatoire des modules complémentaires de Firefox à l'aide de signatures numériques était en avril 2016. Selon Mozilla, la vérification des signatures numériques vous permet de bloquer la propagation de modules complémentaires malveillants qui espionnent les utilisateurs. Certains développeurs de modules complémentaires avec cette position, ils estiment que le mécanisme de vérification obligatoire à l'aide d'une signature numérique ne fait que créer des difficultés pour les développeurs et conduit à une augmentation du temps nécessaire pour apporter des versions correctives aux utilisateurs, sans affecter en aucune façon la sécurité. Il existe de nombreux triviaux et évidents pour contourner la vérification automatique des modules complémentaires qui permettent d'insérer du code malveillant inaperçu, par exemple en générant une opération à la volée en concaténant plusieurs chaînes puis en exécutant la chaîne résultante en appelant eval. La position de Mozilla La raison en est que la plupart des auteurs de modules complémentaires malveillants sont paresseux et ne recourent pas à de telles techniques pour masquer une activité malveillante.
Addendum : Développeurs Mozilla concernant le début des tests du correctif, qui, s'il est testé avec succès, sera bientôt communiqué aux utilisateurs (la décision d'appliquer le correctif proposé n'a pas encore été prise). La génération de signatures numériques pour les nouveaux modules complémentaires est désactivée jusqu'à ce que le correctif soit appliqué.
Source: opennet.ru