Compania Mozilla despre apariția masei cu suplimente pentru Firefox. Pentru toți utilizatorii de browser, suplimentele au fost blocate din cauza expirării certificatului folosit pentru generarea semnăturilor digitale. În plus, se observă că este imposibil să se instaleze suplimente noi din catalogul oficial (addons.mozilla.org).
Calea de ieșire din această situație deocamdată , dezvoltatorii Mozilla iau în considerare posibile remedieri și s-au limitat până acum doar la confirmarea generală a situației. Se menționează doar că suplimentele au devenit inactive după 0 ore (UTC) pe 4 mai. Certificatul trebuia reînnoit în urmă cu o săptămână, dar din anumite motive acest lucru nu s-a întâmplat și acest fapt a trecut neobservat. Acum, la câteva minute după pornirea browserului, este afișat un avertisment despre dezactivarea suplimentelor din cauza unor probleme cu semnătura digitală, iar suplimentele dispar din listă. Semnătura digitală este verificată o dată pe zi sau după lansarea browserului, astfel încât, în cazurile de lungă durată ale Firefox, este posibil ca suplimentele să nu fie dezactivate imediat.
Ca o soluție pentru a restabili accesul la suplimente pentru utilizatorii Linux, puteți dezactiva verificarea semnăturii digitale setând variabila „xpinstall.signatures.required” la „false” în about:config. Această metodă pentru versiunile stabile și beta funcționează numai pe Linux și Android pentru Windows și macOS, o astfel de manipulare este posibilă numai în versiunile de noapte și în ediția pentru dezvoltatori. Ca opțiune, puteți modifica și valoarea ceasului sistemului la ora dinaintea expirării certificatului, apoi capacitatea de a instala suplimente din catalogul AMO va reveni, dar steag-ul de dezactivare deja instalat nu va fi eliminat.
Să vă reamintim că verificarea obligatorie a suplimentelor Firefox folosind semnături digitale a fost în aprilie 2016. Potrivit Mozilla, verificarea semnăturii digitale vă permite să blocați răspândirea suplimentelor rău intenționate care spionează utilizatorii. Unii dezvoltatori de suplimente cu această poziție, ei consideră că mecanismul de verificare obligatorie folosind o semnătură digitală nu face decât să creeze dificultăți dezvoltatorilor și duce la creșterea timpului necesar pentru a aduce utilizatorilor lansări corective, fără a afecta în vreun fel securitatea. Sunt multe banale și evidente pentru a ocoli verificarea automată a suplimentelor care permit introducerea neobservată a codului rău intenționat, de exemplu, prin generarea unei operații din mers prin concatenarea mai multor șiruri și apoi executarea șirului rezultat prin apelarea eval. Poziția lui Mozilla Motivul este că majoritatea autorilor de suplimente rău intenționate sunt leneși și nu vor recurge la astfel de tehnici pentru a ascunde activitățile rău intenționate.
Anexă: Dezvoltatori Mozilla despre începerea testării remedierii, care, dacă va fi testată cu succes, va fi comunicată în curând utilizatorilor (decizia privind aplicarea remedierii propuse nu a fost încă luată). Generarea semnăturii digitale pentru noile suplimente este dezactivată până la aplicarea remedierii.
Sursa: opennet.ru