モジラ社 塊の出現について Firefox のアドオンを使用します。 デジタル署名の生成に使用された証明書の有効期限が切れたため、すべてのブラウザ ユーザーに対してアドオンがブロックされました。 また、公式カタログから新しいアドオンをインストールすることはできないことに注意してください (addons.mozilla.org)。
とりあえずこの状況から抜け出す方法としては , Mozillaの開発者らは修正の可能性を検討しており、これまでのところ状況の一般的な確認のみにとどめている。 0 月 4 日の XNUMX 時間 (UTC) 以降にアドオンが非アクティブになったことのみが述べられています。 証明書はXNUMX週間前に更新されるはずだったが、何らかの理由で更新されず、この事実は見過ごされていた。 ここで、ブラウザを起動してから数分後に、デジタル署名の問題によりアドオンが無効になっているという警告が表示され、アドオンがリストから消えます。 デジタル署名は XNUMX 日に XNUMX 回、またはブラウザの起動後にチェックされるため、長時間実行されている Firefox インスタンスでは、アドオンがすぐに無効にならない場合があります。
Linux ユーザーのアドオンへのアクセスを復元する回避策として、about:config で変数 "xpinstall.signatures.required" を "false" に設定することで、デジタル署名の検証を無効にすることができます。 安定版リリースとベータ版リリースのこの方法は、Linux と Android でのみ機能します。Windows と macOS の場合、このような操作は夜間ビルドと Developer Edition でのみ可能です。 オプションとして、システム クロックの値を証明書の有効期限が切れる前の時刻に変更することもできます。これにより、AMO カタログからアドオンをインストールする機能が戻りますが、すでにインストールされている無効フラグは削除されません。
デジタル署名を使用した Firefox アドオンの検証が必須であることを思い出してください。 2016年XNUMX月に。 Mozilla によると、デジタル署名の検証により、ユーザーを監視する悪意のあるアドオンの拡散をブロックできるとのことです。 一部のアドオン開発者 この立場では、デジタル署名を使用した必須検証のメカニズムは、開発者にとって困難を引き起こすだけであり、セキュリティには何ら影響を与えることなく、ユーザーに修正リリースを提供するのにかかる時間の増加につながると彼らは考えています。 些細で明白なことがたくさんあります たとえば、複数の文字列を連結してその場で操作を生成し、eval を呼び出して結果の文字列を実行することにより、悪意のあるコードが気付かれずに挿入されることを可能にするアドオンの自動チェックをバイパスします。 モジラの立場 その理由は、悪意のあるアドオンの作成者のほとんどが怠け者であり、悪意のあるアクティビティを隠すためにそのような手法に頼ろうとしないためです。
付録: Mozilla 開発者 修正のテストの開始について。テストが成功した場合、間もなくユーザーに通知されます (提案された修正を適用するかどうかはまだ決定されていません)。 新しいアドオンのデジタル署名の生成は、修正が適用されるまで無効になります。
出所: オープンネット.ru