บริษัท มอซิลลา เกี่ยวกับการเกิดขึ้นของมวล พร้อมส่วนเสริมสำหรับ Firefox สำหรับผู้ใช้เบราว์เซอร์ทั้งหมด ส่วนเสริมถูกบล็อกเนื่องจากใบรับรองที่ใช้ในการสร้างลายเซ็นดิจิทัลหมดอายุ นอกจากนี้ยังสังเกตด้วยว่าไม่สามารถติดตั้งส่วนเสริมใหม่จากแค็ตตาล็อกอย่างเป็นทางการได้ (addons.mozilla.org)
ทางออกจากสถานการณ์นี้ในตอนนี้ นักพัฒนา Mozilla กำลังพิจารณาการแก้ไขที่เป็นไปได้และจนถึงขณะนี้ได้จำกัดตัวเองไว้เพียงการยืนยันสถานการณ์ทั่วไปเท่านั้น มีการกล่าวถึงเพียงว่าส่วนเสริมไม่ทำงานหลังจาก 0 ชั่วโมง (UTC) ในวันที่ 4 พฤษภาคม ควรต่ออายุใบรับรองเมื่อสัปดาห์ที่แล้ว แต่ด้วยเหตุผลบางอย่างสิ่งนี้จึงไม่เกิดขึ้นและข้อเท็จจริงนี้ไม่มีใครสังเกตเห็น ไม่กี่นาทีหลังจากเริ่มเบราว์เซอร์ คำเตือนจะปรากฏขึ้นเกี่ยวกับส่วนเสริมที่ถูกปิดใช้งานเนื่องจากปัญหาเกี่ยวกับลายเซ็นดิจิทัล และส่วนเสริมจะหายไปจากรายการ ลายเซ็นดิจิทัลจะถูกตรวจสอบวันละครั้งหรือหลังจากเปิดเบราว์เซอร์ ดังนั้นใน Firefox ที่ทำงานเป็นเวลานาน ส่วนเสริมอาจไม่ถูกปิดใช้งานทันที
วิธีแก้ปัญหาชั่วคราวในการคืนค่าการเข้าถึงส่วนเสริมสำหรับผู้ใช้ Linux คุณสามารถปิดใช้งานการตรวจสอบลายเซ็นดิจิทัลได้โดยตั้งค่าตัวแปร "xpinstall.signatures.required" เป็น "false" ใน about:config วิธีการสำหรับการเผยแพร่ที่เสถียรและเบต้านี้ใช้งานได้บน Linux และ Android เท่านั้น สำหรับ Windows และ macOS การจัดการดังกล่าวทำได้เฉพาะในรุ่นกลางคืนและใน Developer Edition เท่านั้น คุณยังสามารถเปลี่ยนค่าของนาฬิการะบบเป็นเวลาก่อนที่ใบรับรองจะหมดอายุ จากนั้นความสามารถในการติดตั้งส่วนเสริมจากแค็ตตาล็อก AMO จะกลับมา แต่แฟล็กปิดใช้งานที่ติดตั้งไว้แล้วจะไม่ถูกลบออก
เราขอเตือนคุณว่าการยืนยันภาคบังคับของโปรแกรมเสริม Firefox โดยใช้ลายเซ็นดิจิทัลคือ ในเดือนเมษายน 2016 ตาม Mozilla การตรวจสอบลายเซ็นดิจิทัลช่วยให้คุณสามารถบล็อกการแพร่กระจายของโปรแกรมเสริมที่เป็นอันตรายและการสอดแนมได้ นักพัฒนาส่วนเสริมบางราย ด้วยตำแหน่งนี้ พวกเขาเชื่อว่ากลไกของการตรวจสอบบังคับโดยใช้ลายเซ็นดิจิทัลจะสร้างปัญหาให้กับนักพัฒนาเท่านั้น และนำไปสู่การเพิ่มเวลาที่ใช้ในการนำการแก้ไขมาสู่ผู้ใช้ โดยไม่ส่งผลกระทบต่อความปลอดภัย แต่อย่างใด มีเรื่องเล็กน้อยและชัดเจนมากมาย เพื่อข้ามการตรวจสอบอัตโนมัติสำหรับส่วนเสริมที่อนุญาตให้แทรกโค้ดที่เป็นอันตรายโดยไม่มีใครสังเกตเห็น ตัวอย่างเช่น โดยการสร้างการดำเนินการทันทีโดยการเชื่อมสตริงหลาย ๆ เส้นเข้าด้วยกัน จากนั้นเรียกใช้งานสตริงผลลัพธ์โดยการเรียก eval ตำแหน่งของมอซิลลา เหตุผลก็คือผู้เขียนส่วนเสริมที่เป็นอันตรายส่วนใหญ่เกียจคร้านและจะไม่หันไปใช้เทคนิคดังกล่าวเพื่อซ่อนกิจกรรมที่เป็นอันตราย
ภาคผนวก: นักพัฒนา Mozilla เกี่ยวกับการเริ่มต้นการทดสอบโปรแกรมแก้ไข ซึ่งหากทดสอบสำเร็จแล้ว จะมีการสื่อสารไปยังผู้ใช้เร็วๆ นี้ (ยังไม่มีการตัดสินใจในการใช้โปรแกรมแก้ไขที่เสนอ) การสร้างลายเซ็นดิจิทัลสำหรับส่วนเสริมใหม่ถูกปิดใช้งานจนกว่าจะมีการนำการแก้ไขไปใช้
ที่มา: opennet.ru