Compania Mozilla о возникновении массовых с дополнениями к Firefox. У всех пользователей браузера дополнения оказались заблокированными из-за истечения времени жизни сертификата, применяемого для формирования цифровых подписей. Кроме того, отмечается невозможность установки новых дополнений из официального каталога (addons.mozilla.org).
Выход из сложившейся ситуации пока , разработчики Mozilla обдумывают возможные варианты исправления и пока ограничились только общим подтверждением возникшей ситуации. Упоминается только, что дополнения стали неактивны после наступления 0 часов (UTC) 4 мая. Сертификат должен был обновиться неделю назад, но по каким-то причинам этого не произошло и данный факт остался незамеченным. Теперь через несколько минут после запуска браузера выводится предупреждение об отключении дополнений из-за проблем с цифровой подписью и дополнения исчезают из списка. Проверка цифровой подписи осуществляется раз в сутки или после запуска браузера, поэтому в давно запущенных экземплярах Firefox дополнения могут отключиться не сразу.
В качестве обходного пути для возобновления доступа к дополнениям пользователям Linux можно отключить проверку цифровой подписи через установку в about:config переменной «xpinstall.signatures.required» в значение «false». Данный метод для стабильных и бета-выпусков работает только в Linux и Android, для Windows и macOS подобная манипуляция возможна только в ночных сборках и в версии для разработчиков (Developer Edition). Как вариант также можно изменить значение системных часов на время до истечения срока действия сертификата, тогда вернётся возможность установки дополнений из каталога AMO, но уже установленная метка отключения не снимается.
Напомним, что обязательная проверка дополнений Firefox по цифровым подписям была в апреле 2016 года. По мнению Mozilla проверка по цифровой подписи позволяет блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных pentru a ocoli verificarea automată a suplimentelor care permit introducerea neobservată a codului rău intenționat, de exemplu, prin generarea unei operații din mers prin concatenarea mai multor șiruri și apoi executarea șirului rezultat prin apelarea eval. Poziția lui Mozilla Motivul este că majoritatea autorilor de suplimente rău intenționate sunt leneși și nu vor recurge la astfel de tehnici pentru a ascunde activitățile rău intenționate.
Дополнение: Разработчики Mozilla о начале тестирования исправления, которое в случае успешной проверки в скором времени будет доведено до пользователей (решение о применении предложенного исправления ещё не принято). До применения исправления формирование цифровых подписей для новых дополнений отключено.
Sursa: opennet.ru