Spoločnosť Mozilla o vzniku hmoty s doplnkami pre Firefox. Pre všetkých používateľov prehliadača boli doplnky zablokované z dôvodu vypršania platnosti certifikátu používaného na generovanie digitálnych podpisov. Okrem toho je potrebné poznamenať, že nie je možné inštalovať nové doplnky z oficiálneho katalógu (addons.mozilla.org).
Zatiaľ východisko z tejto situácie , vývojári Mozilly zvažujú možné opravy a zatiaľ sa obmedzili len na všeobecné potvrdenie situácie. Spomína sa len, že doplnky sa stali neaktívnymi po 0 hodinách (UTC) 4. mája. Certifikát mal byť obnovený už pred týždňom, no z nejakého dôvodu sa tak nestalo a táto skutočnosť zostala nepovšimnutá. Teraz, niekoľko minút po spustení prehliadača, sa zobrazí varovanie o deaktivácii doplnkov z dôvodu problémov s digitálnym podpisom a doplnky zmiznú zo zoznamu. Digitálny podpis sa kontroluje raz denne alebo po spustení prehliadača, takže v dlhodobo spustených inštanciách Firefoxu sa doplnky nemusia deaktivovať okamžite.
Ako riešenie na obnovenie prístupu k doplnkom pre používateľov systému Linux môžete zakázať overovanie digitálneho podpisu nastavením premennej "xpinstall.signatures.required" na hodnotu "false" v súbore about:config. Táto metóda pre stabilné a beta verzie funguje iba v systémoch Linux a Android; pre Windows a macOS je takáto manipulácia možná len v nočných zostavách a vo verzii pre vývojárov. Voliteľne môžete zmeniť aj hodnotu systémových hodín na čas pred vypršaním platnosti certifikátu, potom sa vráti možnosť inštalovať doplnky z katalógu AMO, ale neodstráni sa už nainštalovaný príznak zakázania.
Pripomeňme, že povinné overovanie doplnkov Firefoxu pomocou digitálnych podpisov bolo v apríli 2016. Podľa Mozilly vám overovanie digitálneho podpisu umožňuje blokovať šírenie škodlivých doplnkov, ktoré špehujú používateľov. Niektorí vývojári doplnkov s touto pozíciou sa domnievajú, že mechanizmus povinného overovania pomocou digitálneho podpisu len vytvára ťažkosti pre vývojárov a vedie k predĺženiu času potrebného na poskytnutie opravných vydaní používateľom bez toho, aby akýmkoľvek spôsobom ovplyvnil bezpečnosť. Existuje veľa triviálnych a zrejmých obísť automatickú kontrolu doplnkov, ktoré umožňujú nepozorované vloženie škodlivého kódu, napríklad vygenerovaním operácie za behu spojením niekoľkých reťazcov a následným spustením výsledného reťazca volaním eval. Pozícia Mozilly Dôvodom je, že väčšina autorov škodlivých doplnkov je lenivá a neuchýli sa k takýmto technikám, aby skryli škodlivú činnosť.
Dodatok: Mozilla Developers o začatí testovania opravy, ktorá bude v prípade úspešnom otestovaní čoskoro oboznámená s používateľmi (rozhodnutie o použití navrhovanej opravy ešte nepadlo). Generovanie digitálneho podpisu pre nové doplnky je vypnuté, kým sa nepoužije oprava.
Zdroj: opennet.ru