Firma Mozilla o pojawieniu się masy z dodatkami do Firefoksa. Dla wszystkich użytkowników przeglądarek dodatki zostały zablokowane ze względu na wygaśnięcie certyfikatu używanego do generowania podpisów cyfrowych. Ponadto należy zauważyć, że nie można instalować nowych dodatków z oficjalnego katalogu (addons.mozilla.org).
Na razie wyjście z tej sytuacji , programiści Mozilli rozważają możliwe poprawki i na razie ograniczają się jedynie do ogólnego potwierdzenia sytuacji. Wspomniano jedynie, że dodatki stały się nieaktywne po godzinie 0 (UTC) 4 maja. Certyfikat miał zostać odnowiony tydzień temu, jednak z jakiegoś powodu tak się nie stało i fakt ten przeszedł niezauważony. Teraz, kilka minut po uruchomieniu przeglądarki, pojawia się ostrzeżenie o wyłączeniu dodatków ze względu na problemy z podpisem cyfrowym, a dodatki znikają z listy. Podpis cyfrowy jest sprawdzany raz dziennie lub po uruchomieniu przeglądarki, dlatego w przypadku długotrwałych wystąpień przeglądarki Firefox dodatki mogą nie zostać natychmiast wyłączone.
Aby przywrócić dostęp do dodatków użytkownikom Linuksa, możesz wyłączyć weryfikację podpisu cyfrowego, ustawiając zmienną „xpinstall.signatures.required” na „false” w about:config. Ta metoda w przypadku wersji stabilnych i beta działa tylko w systemie Linux i Android; w przypadku systemów Windows i macOS taka manipulacja jest możliwa tylko w kompilacjach nocnych i w wersji dla programistów. Opcjonalnie możesz także zmienić wartość zegara systemowego na czas przed wygaśnięciem certyfikatu, wówczas powróci możliwość instalowania dodatków z katalogu AMO, ale zainstalowana już flaga wyłączająca nie zostanie usunięta.
Przypomnijmy, że obowiązkowa była weryfikacja dodatków do Firefoksa przy użyciu podpisów cyfrowych w kwietniu 2016 r. Według Mozilli weryfikacja podpisu cyfrowego pozwala blokować rozprzestrzenianie się złośliwych dodatków szpiegujących użytkowników. Niektórzy twórcy dodatków zajmując takie stanowisko uważają, że mechanizm obowiązkowej weryfikacji przy użyciu podpisu cyfrowego stwarza jedynie trudności dla programistów i prowadzi do wydłużenia czasu potrzebnego na dostarczenie użytkownikom poprawek, nie wpływając w żaden sposób na bezpieczeństwo. Jest wiele trywialnych i oczywistych aby ominąć automatyczne sprawdzanie dodatków, które pozwalają na niezauważone wstawienie złośliwego kodu, na przykład poprzez wygenerowanie operacji w locie poprzez połączenie kilku ciągów, a następnie wykonanie powstałego ciągu poprzez wywołanie eval. Stanowisko Mozilli Powodem jest to, że większość autorów złośliwych dodatków jest leniwa i nie ucieka się do takich technik, aby ukryć złośliwą aktywność.
Dodatek: Programiści Mozilli o rozpoczęciu testów poprawki, o której, jeśli testy wypadną pomyślnie, wkrótce poinformujemy użytkowników (decyzja o zastosowaniu proponowanej poprawki nie została jeszcze podjęta). Generowanie podpisu cyfrowego dla nowych dodatków jest wyłączone do czasu zastosowania poprawki.
Źródło: opennet.ru