Mozilla Company sobre o surgimento da massa com complementos para Firefox. Para todos os usuários do navegador, os complementos foram bloqueados devido à expiração do certificado usado para gerar assinaturas digitais. Além disso, destaca-se que é impossível instalar novos add-ons do catálogo oficial (addons.mozilla.org).
A saída desta situação por enquanto , os desenvolvedores da Mozilla estão considerando possíveis soluções e até agora se limitaram apenas à confirmação geral da situação. É mencionado apenas que os add-ons ficaram inativos após 0 horas (UTC) do dia 4 de maio. O certificado deveria ter sido renovado há uma semana, mas por algum motivo isso não aconteceu e o fato passou despercebido. Agora, alguns minutos após iniciar o navegador, é exibido um aviso sobre a desativação de complementos devido a problemas com a assinatura digital, e os complementos desaparecem da lista. A assinatura digital é verificada uma vez por dia ou após o navegador ser iniciado, portanto, em instâncias de longa duração do Firefox, os complementos podem não ser desativados imediatamente.
Como solução alternativa para restaurar o acesso a complementos para usuários do Linux, você pode desativar a verificação de assinatura digital definindo a variável "xpinstall.signatures.required" como "false" em about:config. Este método para versões estáveis e beta só funciona em Linux e Android; para Windows e macOS, tal manipulação só é possível em compilações noturnas e na Developer Edition. Como opção, você também pode alterar o valor do relógio do sistema para o horário anterior à expiração do certificado, então a capacidade de instalar complementos do catálogo AMO retornará, mas o sinalizador de desativação já instalado não será removido.
Lembramos que a verificação obrigatória dos complementos do Firefox usando assinaturas digitais foi em abril de 2016. Segundo a Mozilla, a verificação de assinatura digital permite bloquear a propagação de complementos maliciosos que espionam os usuários. Alguns desenvolvedores de complementos com esse posicionamento, acreditam que o mecanismo de verificação obrigatória por assinatura digital apenas cria dificuldades para os desenvolvedores e leva ao aumento do tempo para trazer liberações corretivas aos usuários, sem afetar em nada a segurança. Existem muitas coisas triviais e óbvias para ignorar a verificação automatizada de complementos que permitem a inserção de código malicioso despercebido, por exemplo, gerando uma operação em tempo real concatenando várias strings e, em seguida, executando a string resultante chamando eval. Posição da Mozilla A razão é que a maioria dos autores de complementos maliciosos são preguiçosos e não recorrem a tais técnicas para ocultar atividades maliciosas.
Adendo: Desenvolvedores Mozilla sobre o início dos testes da correção, que, se testada com sucesso, será comunicada em breve aos usuários (a decisão sobre a aplicação da correção proposta ainda não foi tomada). A geração de assinatura digital para novos complementos fica desativada até que a correção seja aplicada.
Fonte: opennet.ru