Mozilla Company om fremveksten av masse med tillegg for Firefox. For alle nettleserbrukere ble tillegg blokkert på grunn av utløpet av sertifikatet som ble brukt til å generere digitale signaturer. I tillegg bemerkes det at det er umulig å installere nye tillegg fra den offisielle katalogen (addons.mozilla.org).
Veien ut av denne situasjonen foreløpig , Mozilla-utviklere vurderer mulige reparasjoner og har så langt begrenset seg til kun generell bekreftelse av situasjonen. Det er bare nevnt at tilleggene ble inaktive etter 0 timer (UTC) 4. mai. Sertifikatet skulle fornyes for en uke siden, men av en eller annen grunn skjedde det ikke, og dette faktum gikk upåaktet hen. Nå, noen minutter etter oppstart av nettleseren, vises en advarsel om at tilleggsprogrammer er deaktivert på grunn av problemer med den digitale signaturen, og tillegg forsvinner fra listen. Den digitale signaturen sjekkes én gang om dagen eller etter at nettleseren er startet, så i langvarige tilfeller av Firefox kan det hende at tillegg ikke deaktiveres umiddelbart.
Som en løsning for å gjenopprette tilgang til tillegg for Linux-brukere, kan du deaktivere verifisering av digital signatur ved å sette variabelen "xpinstall.signatures.required" til "false" i about:config. Denne metoden for stabile og beta-utgivelser fungerer bare på Linux og Android; for Windows og macOS er slik manipulering bare mulig i nattlige bygg og i Developer Edition. Som et alternativ kan du også endre verdien på systemklokken til tiden før sertifikatet utløper, da vil muligheten til å installere tillegg fra AMO-katalogen komme tilbake, men det allerede installerte deaktiveringsflagget vil ikke bli fjernet.
La oss minne deg om at obligatorisk verifisering av Firefox-tillegg ved bruk av digitale signaturer var i april 2016. Ifølge Mozilla lar digital signaturverifisering deg blokkere spredningen av ondsinnede tillegg som spionerer på brukere. Noen tilleggsutviklere med denne posisjonen mener de at mekanismen med obligatorisk verifisering ved bruk av en digital signatur bare skaper vanskeligheter for utviklere og fører til en økning i tiden det tar å bringe korrigerende utgivelser til brukerne, uten at det påvirker sikkerheten på noen måte. Det er mange trivielle og åpenbare å omgå den automatiserte sjekken for tilleggsprogrammer som lar skadelig kode settes inn ubemerket, for eksempel ved å generere en operasjon i farten ved å sette sammen flere strenger og deretter utføre den resulterende strengen ved å kalle eval. Mozillas posisjon Årsaken er at de fleste forfattere av ondsinnede tillegg er late og vil ikke ty til slike teknikker for å skjule ondsinnet aktivitet.
Tillegg: Mozilla-utviklere om starten på å teste rettelsen, som, hvis den testes vellykket, snart vil bli kommunisert til brukerne (beslutningen om å bruke den foreslåtte rettelsen er ennå ikke tatt). Generering av digital signatur for nye tillegg er deaktivert til rettelsen er tatt i bruk.
Kilde: opennet.ru