Tvrtka Mozilla o nastanku mase s dodacima za Firefox. Svim korisnicima preglednika dodaci su blokirani zbog isteka certifikata koji se koristi za generiranje digitalnih potpisa. Osim toga, napominje se da je nemoguće instalirati nove dodatke iz službenog kataloga (addons.mozilla.org).
Izlaz iz ove situacije za sada , Mozillini programeri razmatraju moguće popravke i do sada su se ograničili samo na opću potvrdu situacije. Samo se spominje da su dodaci postali neaktivni nakon 0 sati (UTC) 4. svibnja. Certifikat je trebao biti obnovljen prije tjedan dana, no to se iz nekog razloga nije dogodilo i ta je činjenica prošla nezapaženo. Sada, nekoliko minuta nakon pokretanja preglednika, prikazuje se upozorenje da su dodaci onemogućeni zbog problema s digitalnim potpisom, a dodaci nestaju s popisa. Digitalni potpis provjerava se jednom dnevno ili nakon pokretanja preglednika, tako da u dugotrajnim instancama Firefoxa dodaci možda neće biti odmah onemogućeni.
Kao zaobilazno rješenje za vraćanje pristupa dodacima za korisnike Linuxa, možete onemogućiti provjeru digitalnog potpisa postavljanjem varijable "xpinstall.signatures.required" na "false" u about:config. Ova metoda za stabilna i beta izdanja radi samo na Linuxu i Androidu; za Windows i macOS takva je manipulacija moguća samo u noćnim verzijama i u izdanju za razvojne programere. Kao opciju, također možete promijeniti vrijednost sistemskog sata na vrijeme prije isteka certifikata, tada će se vratiti mogućnost instaliranja dodataka iz AMO kataloga, ali već instalirana oznaka onemogućavanja neće biti uklonjena.
Podsjetimo, bila je obvezna provjera dodataka za Firefox digitalnim potpisom u travnju 2016. Prema Mozilli, provjera digitalnog potpisa omogućuje blokiranje širenja zlonamjernih dodataka koji špijuniraju korisnike. Neki programeri dodataka S ovim stavom smatraju da mehanizam obvezne provjere digitalnim potpisom samo stvara poteškoće programerima i dovodi do povećanja vremena potrebnog za donošenje korektivnih izdanja korisnicima, a da pritom ni na koji način ne utječe na sigurnost. Mnogo je trivijalnih i očitih zaobići automatsku provjeru dodataka koji omogućuju neprimjetno umetanje zlonamjernog koda, na primjer, generiranjem operacije u hodu spajanjem nekoliko nizova i zatim izvršavanjem dobivenog niza pozivanjem eval. Mozilla pozicija Razlog je taj što je većina autora zlonamjernih dodataka lijena i neće pribjeći takvim tehnikama za skrivanje zlonamjernih aktivnosti.
Dodatak: Mozilla Developers o početku testiranja popravka, o čemu će, ukoliko se uspješno testira, korisnici biti obaviješteni uskoro (odluka o primjeni predloženog popravka još nije donesena). Generiranje digitalnog potpisa za nove dodatke onemogućeno je dok se popravak ne primijeni.
Izvor: opennet.ru