Società Mozilla sull’emergere della massa con componenti aggiuntivi per Firefox. Per tutti gli utenti del browser i componenti aggiuntivi sono stati bloccati a causa della scadenza del certificato utilizzato per generare le firme digitali. Inoltre, si segnala che è impossibile installare nuovi componenti aggiuntivi dal catalogo ufficiale (addons.mozilla.org).
La via d'uscita da questa situazione per ora , gli sviluppatori di Mozilla stanno valutando possibili soluzioni e finora si sono limitati solo a una conferma generale della situazione. Viene solo menzionato che i componenti aggiuntivi sono diventati inattivi dopo le 0 ore (UTC) del 4 maggio. Il certificato avrebbe dovuto essere rinnovato una settimana fa, ma per qualche motivo ciò non è avvenuto e il fatto è passato inosservato. Ora, pochi minuti dopo l'avvio del browser, viene visualizzato un avviso relativo alla disattivazione dei componenti aggiuntivi a causa di problemi con la firma digitale e i componenti aggiuntivi scompaiono dall'elenco. La firma digitale viene controllata una volta al giorno o dopo l'avvio del browser, quindi nelle istanze di Firefox di lunga durata i componenti aggiuntivi potrebbero non essere disabilitati immediatamente.
Come soluzione alternativa per ripristinare l'accesso ai componenti aggiuntivi per gli utenti Linux, è possibile disabilitare la verifica della firma digitale impostando la variabile "xpinstall.signatures.required" su "false" in about:config. Questo metodo per le versioni stabili e beta funziona solo su Linux e Android; per Windows e macOS tale manipolazione è possibile solo nelle build notturne e nella Developer Edition. Come opzione, è anche possibile modificare il valore dell'orologio di sistema sull'ora precedente alla scadenza del certificato, quindi verrà ripristinata la possibilità di installare componenti aggiuntivi dal catalogo AMO, ma il flag di disabilitazione già installato non verrà rimosso.
Ti ricordiamo che la verifica obbligatoria dei componenti aggiuntivi di Firefox utilizzando le firme digitali era nell'aprile 2016. Secondo Mozilla, la verifica della firma digitale consente di bloccare la diffusione di componenti aggiuntivi dannosi e di spionaggio. Alcuni sviluppatori di componenti aggiuntivi con questa posizione, ritengono che il meccanismo di verifica obbligatoria mediante firma digitale crei solo difficoltà agli sviluppatori e porti ad un aumento del tempo necessario per portare versioni correttive agli utenti, senza compromettere in alcun modo la sicurezza. Ce ne sono molti banali e ovvi per aggirare il controllo automatico dei componenti aggiuntivi che consentono l'inserimento inosservato di codice dannoso, ad esempio generando un'operazione al volo concatenando più stringhe e quindi eseguendo la stringa risultante chiamando eval. La posizione di Mozilla Il motivo è che la maggior parte degli autori di componenti aggiuntivi dannosi sono pigri e non ricorrono a tali tecniche per nascondere attività dannose.
Addendum: sviluppatori Mozilla circa l'inizio del test della correzione che, se testata con successo, sarà presto comunicata agli utenti (la decisione sull'applicazione della correzione proposta non è stata ancora presa). La generazione della firma digitale per i nuovi componenti aggiuntivi è disabilitata finché non viene applicata la correzione.
Fonte: opennet.ru