Mozilla-bedrijf over het ontstaan van massa met add-ons voor Firefox. Voor alle browsergebruikers werden add-ons geblokkeerd vanwege het verlopen van het certificaat dat werd gebruikt om digitale handtekeningen te genereren. Bovendien wordt opgemerkt dat het onmogelijk is om nieuwe add-ons uit de officiële catalogus te installeren (addons.mozilla.org).
De uitweg uit deze situatie voor nu Mozilla-ontwikkelaars overwegen mogelijke oplossingen en hebben zich tot nu toe beperkt tot slechts een algemene bevestiging van de situatie. Er wordt alleen vermeld dat de add-ons op 0 mei na 4 uur (UTC) inactief werden. Het certificaat zou een week geleden vernieuwd worden, maar om de een of andere reden gebeurde dit niet en dit feit bleef onopgemerkt. Nu, een paar minuten na het starten van de browser, wordt er een waarschuwing weergegeven dat add-ons worden uitgeschakeld vanwege problemen met de digitale handtekening, en verdwijnen add-ons uit de lijst. De digitale handtekening wordt eenmaal per dag of nadat de browser is gestart gecontroleerd, dus in langlopende versies van Firefox kunnen add-ons mogelijk niet onmiddellijk worden uitgeschakeld.
Als tijdelijke oplossing om de toegang tot add-ons voor Linux-gebruikers te herstellen, kunt u de verificatie van digitale handtekeningen uitschakelen door de variabele "xpinstall.signatures.required" in te stellen op "false" in about:config. Deze methode voor stabiele en bètaversies werkt alleen op Linux en Android; voor Windows en macOS is dergelijke manipulatie alleen mogelijk in nachtelijke builds en in de Developer Edition. Als optie kunt u ook de waarde van de systeemklok wijzigen in de tijd voordat het certificaat verloopt, waarna de mogelijkheid om add-ons uit de AMO-catalogus te installeren terugkeert, maar de reeds geïnstalleerde uitschakelvlag wordt niet verwijderd.
Wij herinneren u eraan dat er een verplichte verificatie van Firefox-add-ons met behulp van digitale handtekeningen was april 2016. Volgens Mozilla kun je met de verificatie van digitale handtekeningen de verspreiding van kwaadaardige add-ons die gebruikers bespioneren, blokkeren. Sommige add-on-ontwikkelaars Met dit standpunt zijn zij van mening dat het mechanisme van verplichte verificatie met behulp van een digitale handtekening alleen maar problemen voor ontwikkelaars oplevert en leidt tot een toename van de tijd die nodig is om corrigerende releases naar gebruikers te brengen, zonder de veiligheid op enigerlei wijze aan te tasten. Er zijn veel triviale en voor de hand liggende om het geautomatiseerde add-on-controlesysteem te omzeilen waarmee kwaadaardige code onopgemerkt kan worden ingevoegd, bijvoorbeeld door direct een bewerking te genereren door verschillende strings aaneen te schakelen en vervolgens de resulterende string uit te voeren door eval aan te roepen. Mozilla's standpunt De reden hiervoor is dat de meeste auteurs van kwaadaardige add-ons lui zijn en geen toevlucht zullen nemen tot dergelijke technieken om kwaadaardige activiteiten te verbergen.
Addendum: Mozilla-ontwikkelaars over de start van het testen van de oplossing, die, indien succesvol getest, binnenkort aan gebruikers zal worden gecommuniceerd (de beslissing over het toepassen van de voorgestelde oplossing is nog niet genomen). Het genereren van digitale handtekeningen voor nieuwe add-ons is uitgeschakeld totdat de oplossing is toegepast.
Bron: opennet.ru