Uzņēmums Mozilla par masu rašanos ar Firefox papildinājumiem. Visiem pārlūkprogrammas lietotājiem pievienojumprogrammas tika bloķētas, jo beidzās ciparparakstu ģenerēšanai izmantotā sertifikāta derīguma termiņš. Turklāt tiek atzīmēts, ka nav iespējams instalēt jaunus papildinājumus no oficiālā kataloga (addons.mozilla.org).
Pagaidām izeja no šīs situācijas , Mozilla izstrādātāji apsver iespējamos labojumus un līdz šim ir aprobežojušies tikai ar vispārīgu situācijas apstiprinājumu. Ir tikai minēts, ka papildinājumi kļuva neaktīvi pēc 0 stundām (UTC) 4. maijā. Sertifikātu vajadzēja atjaunot pirms nedēļas, bet nez kāpēc tas nenotika un šis fakts palika nepamanīts. Tagad, dažas minūtes pēc pārlūkprogrammas palaišanas, tiek parādīts brīdinājums par papildinājumu atspējošanu digitālā paraksta problēmu dēļ, un papildinājumi pazūd no saraksta. Ciparparaksts tiek pārbaudīts reizi dienā vai pēc pārlūkprogrammas palaišanas, tāpēc ilgstoši darbojošos Firefox gadījumos pievienojumprogrammas var netikt atspējotas nekavējoties.
Lai Linux lietotājiem atjaunotu piekļuvi pievienojumprogrammām, varat atspējot ciparparaksta verifikāciju, iestatot mainīgo “xpinstall.signatures.required” uz “false” failā about:config. Šī metode stabilām un beta versijām darbojas tikai operētājsistēmās Linux un Android; operētājsistēmām Windows un macOS šādas manipulācijas ir iespējamas tikai nakts versijās un izstrādātāju izdevumā. Kā opciju varat arī mainīt sistēmas pulksteņa vērtību uz laiku pirms sertifikāta derīguma termiņa beigām, tad atgriezīsies iespēja instalēt papildinājumus no AMO kataloga, bet jau instalētais atspējošanas karodziņš netiks noņemts.
Atgādinām, ka Firefox pievienojumprogrammu obligāta pārbaude, izmantojot ciparparakstus, bija 2016. gada aprīlī. Saskaņā ar Mozilla teikto, digitālā paraksta pārbaude ļauj bloķēt ļaunprātīgu papildinājumu izplatību, kas izspiego lietotājus. Daži papildinājumu izstrādātāji ar šo nostāju viņi uzskata, ka obligātās verifikācijas mehānisms, izmantojot digitālo parakstu, tikai rada grūtības izstrādātājiem un palielina laiku, kas nepieciešams, lai lietotājiem sniegtu koriģējošus izdevumus, nekādā veidā neietekmējot drošību. Ir daudz triviālu un acīmredzamu lai apietu automātisko pārbaudi par papildinājumiem, kas ļauj nepamanīti ievietot ļaunprātīgu kodu, piemēram, lidojumā ģenerējot darbību, savienojot vairākas virknes un pēc tam izpildot iegūto virkni, izsaucot eval. Mozillas pozīcija Iemesls ir tāds, ka lielākā daļa ļaunprātīgu papildinājumu autoru ir slinki un neizmantos šādas metodes, lai slēptu ļaunprātīgu darbību.
Papildinājums: Mozilla Developers par labojuma testēšanas sākumu, kas sekmīgas pārbaudes gadījumā drīzumā tiks paziņots lietotājiem (lēmums par piedāvātā labojuma piemērošanu vēl nav pieņemts). Digitālā paraksta ģenerēšana jauniem papildinājumiem ir atspējota, līdz tiek lietots labojums.
Avots: opennet.ru