Compañía Mozilla sobre a aparición da masa con complementos para Firefox. Para todos os usuarios do navegador, bloqueáronse os complementos debido á caducidade do certificado utilizado para xerar sinaturas dixitais. Ademais, nótase que é imposible instalar novos complementos do catálogo oficial (addons.mozilla.org).
A saída desta situación por agora , Os desenvolvedores de Mozilla están considerando posibles correccións e ata agora limitáronse a só unha confirmación xeral da situación. Só se menciona que os complementos quedaron inactivos despois das 0 horas (UTC) do 4 de maio. O certificado debía renovarse hai unha semana, pero por algún motivo non sucedeu e este feito pasou desapercibido. Agora, uns minutos despois de iniciar o navegador, móstrase unha advertencia sobre a desactivación de complementos debido a problemas coa sinatura dixital e os complementos desaparecen da lista. A sinatura dixital compróbase unha vez ao día ou despois de que se inicie o navegador, polo que en casos de longa duración de Firefox, é posible que os complementos non se desactiven inmediatamente.
Como solución alternativa para restaurar o acceso aos complementos dos usuarios de Linux, pode desactivar a verificación da sinatura dixital configurando a variable "xpinstall.signatures.required" en "false" en about:config. Este método para versións estables e beta só funciona en Linux e Android; para Windows e macOS, esta manipulación só é posible nas compilacións nocturnas e na Edición Developer. Como opción, tamén pode cambiar o valor do reloxo do sistema ao tempo antes de que caduque o certificado, entón volverá a posibilidade de instalar complementos do catálogo AMO, pero a marca de desactivación xa instalada non se eliminará.
Lembrámosche que a verificación obrigatoria dos complementos de Firefox mediante sinaturas dixitais era en abril de 2016. Segundo Mozilla, a verificación da sinatura dixital permítelle bloquear a propagación de complementos maliciosos que espian aos usuarios. Algúns desenvolvedores de complementos con esta postura, consideran que o mecanismo de verificación obrigatoria mediante a sinatura dixital só crea dificultades para os desenvolvedores e leva a un aumento do tempo que se tarda en achegar versións correctivas aos usuarios, sen afectar de ningún xeito á seguridade. Hai moitos triviais e obvios para evitar a comprobación automatizada de complementos que permiten inserir código malicioso desapercibido, por exemplo, xerando unha operación sobre a marcha concatenando varias cadeas e executando despois a cadea resultante chamando a eval. Posición de Mozilla O motivo é que a maioría dos autores de complementos maliciosos son preguiceiros e non recorrerán a tales técnicas para ocultar actividade maliciosa.
Anexo: Desenvolvedores de Mozilla sobre o inicio da proba da corrección, que, se se proba con éxito, en breve será comunicada aos usuarios (a decisión de aplicar a corrección proposta aínda non se tomou). A xeración de sinatura dixital para novos complementos está desactivada ata que se aplique a corrección.
Fonte: opennet.ru