Mozilla Company a tömeg megjelenéséről Firefoxhoz készült kiegészítőkkel. A digitális aláírás generálására használt tanúsítvány lejárta miatt minden böngészőfelhasználónál letiltották a bővítményeket. Ezenkívül meg kell jegyezni, hogy lehetetlen új kiegészítőket telepíteni a hivatalos katalógusból (addons.mozilla.org).
Egyelőre a kiút ebből a helyzetből , a Mozilla fejlesztői fontolgatják a lehetséges javításokat, és eddig csak a helyzet általános megerősítésére szorítkoztak. Csak annyit említenek, hogy a kiegészítők május 0-én 4 óra (UTC) után váltak inaktívvá. A tanúsítványt egy hete kellett volna megújítani, de valamiért ez nem történt meg, és ezt a tényt nem vették észre. Most néhány perccel a böngésző indítása után figyelmeztetés jelenik meg a digitális aláírással kapcsolatos problémák miatt letiltott bővítményekről, és a kiegészítők eltűnnek a listáról. A digitális aláírást naponta egyszer vagy a böngésző elindítása után ellenőrzik, így a Firefox régóta futó példányaiban előfordulhat, hogy a bővítményeket nem lehet azonnal letiltani.
A Linux-felhasználók bővítményeihez való hozzáférés visszaállítására szolgáló megoldásként letilthatja a digitális aláírás ellenőrzését, ha az about:config fájlban az "xpinstall.signatures.required" változót "false" értékre állítja. Ez a módszer a stabil és béta kiadásokhoz csak Linuxon és Androidon működik; Windows és macOS esetén az ilyen manipuláció csak éjszakai buildekben és a Developer Editionben lehetséges. Opcióként módosíthatja a rendszeróra értékét a tanúsítvány lejárata előtti időre is, ekkor visszatér a bővítmények telepítésének lehetősége az AMO katalógusból, de a már telepített letiltási jelző nem kerül eltávolításra.
Emlékeztetjük Önöket, hogy a Firefox-bővítmények kötelező digitális aláírással történő ellenőrzése volt 2016 áprilisában. A Mozilla szerint a digitális aláírás ellenőrzése lehetővé teszi a felhasználók után kémkedő rosszindulatú kiegészítők terjedésének megakadályozását. Néhány kiegészítő fejlesztő ezzel az állásponttal úgy vélik, hogy a kötelező, digitális aláírással történő ellenőrzés mechanizmusa csak nehézségeket okoz a fejlesztőknek, és megnöveli a korrekciós kiadások felhasználóihoz való eljuttatásának idejét anélkül, hogy a biztonságot bármilyen módon befolyásolná. Sok triviális és nyilvánvaló megkerülni az olyan kiegészítők automatikus ellenőrzését, amelyek lehetővé teszik a rosszindulatú kód észrevétlen beszúrását, például úgy, hogy több karakterlánc összefűzésével menet közben generál egy műveletet, majd az eval meghívásával végrehajtja a kapott karakterláncot. A Mozilla helyzete Ennek az az oka, hogy a rosszindulatú kiegészítők legtöbb szerzője lusta, és nem folyamodik ilyen technikákhoz a rosszindulatú tevékenységek elrejtésére.
Kiegészítés: Mozilla Developers a javítás tesztelésének megkezdéséről, amelyet sikeres tesztelés esetén hamarosan közölnek a felhasználókkal (a javasolt javítás alkalmazásáról még nem született döntés). Az új kiegészítők digitális aláírásának generálása le van tiltva, amíg a javítást nem alkalmazzák.
Forrás: opennet.ru