„Mozilla“ kompanija apie masės atsiradimą su „Firefox“ priedais. Visiems naršyklės naudotojams priedai buvo užblokuoti dėl to, kad pasibaigė sertifikato, naudojamo skaitmeniniams parašams generuoti, galiojimo laikas. Be to, pažymima, kad neįmanoma įdiegti naujų priedų iš oficialaus katalogo (addons.mozilla.org).
Kol kas išeitis iš šios situacijos , „Mozilla“ kūrėjai svarsto galimus pataisymus ir kol kas apsiribojo tik bendru situacijos patvirtinimu. Tik minima, kad priedai tapo neaktyvūs po 0 valandų (UTC) gegužės 4 d. Pažyma turėjo būti pratęsta prieš savaitę, bet kažkodėl taip neįvyko ir šis faktas liko nepastebėtas. Dabar, praėjus kelioms minutėms po naršyklės paleidimo, rodomas įspėjimas apie priedų išjungimą dėl skaitmeninio parašo problemų, o priedai išnyksta iš sąrašo. Skaitmeninis parašas tikrinamas kartą per dieną arba paleidus naršyklę, todėl ilgai veikiant „Firefox“ priedai gali būti išjungti ne iš karto.
Norėdami atkurti prieigą prie priedų „Linux“ naudotojams, galite išjungti skaitmeninio parašo patvirtinimą, maždaug:config nustatydami kintamąjį „xpinstall.signatures.required“ į „false“. Šis stabilių ir beta versijų leidimų metodas veikia tik „Linux“ ir „Android“; „Windows“ ir „MacOS“ toks manipuliavimas galimas tik naudojant nakties versijas ir kūrėjų leidime. Pasirinktinai taip pat galite pakeisti sistemos laikrodžio reikšmę į laiką iki sertifikato galiojimo pabaigos, tada sugrįš galimybė įdiegti priedus iš AMO katalogo, tačiau jau įdiegta išjungimo vėliavėlė nebus pašalinta.
Priminsime, kad „Firefox“ priedų tikrinimas naudojant skaitmeninius parašus buvo privalomas 2016 metų balandžio mėnesį. „Mozilla“ teigimu, skaitmeninio parašo tikrinimas leidžia blokuoti kenkėjiškų priedų, kurie šnipinėja vartotojus, plitimą. Kai kurie priedų kūrėjai Laikydamiesi šios pozicijos, jie mano, kad privalomo patvirtinimo naudojant skaitmeninį parašą mechanizmas tik sukuria sunkumų kūrėjams ir dėl to ilgėja laikas, per kurį naudotojams pateikiami korekciniai leidimai, nepažeidžiant saugumo. Yra daug trivialių ir akivaizdžių apeiti automatinį patikrinimą, ar nėra priedų, leidžiančių nepastebimai įterpti kenkėjišką kodą, pavyzdžiui, sugeneruojant operaciją skrydžio metu, sujungiant kelias eilutes, o tada vykdant gautą eilutę skambinant eval. „Mozilla“ pozicija Priežastis ta, kad dauguma kenkėjiškų priedų autorių yra tingūs ir nesiims tokių metodų, kad paslėptų kenkėjišką veiklą.
Priedas: „Mozilla Developers“. apie pataisos testavimo pradžią, apie kurią sėkmingai išbandžius netrukus bus pranešta vartotojams (sprendimas dėl siūlomos pataisos taikymo dar nepriimtas). Skaitmeninio parašo generavimas naujiems priedams išjungtas, kol nebus pritaikytas pataisymas.
Šaltinis: opennet.ru