Mozilla Company tungkol sa paglitaw ng misa na may mga add-on para sa Firefox. Para sa lahat ng user ng browser, na-block ang mga add-on dahil sa pag-expire ng certificate na ginamit para bumuo ng mga digital signature. Bilang karagdagan, nabanggit na imposibleng mag-install ng mga bagong add-on mula sa opisyal na katalogo (addons.mozilla.org).
Ang paraan sa labas ng sitwasyong ito sa ngayon , Isinasaalang-alang ng mga developer ng Mozilla ang mga posibleng pag-aayos at hanggang ngayon ay limitado lamang ang kanilang mga sarili sa pangkalahatang kumpirmasyon lamang ng sitwasyon. Nabanggit lamang na ang mga add-on ay naging hindi aktibo pagkatapos ng 0 oras (UTC) noong ika-4 ng Mayo. Ang sertipiko ay dapat na i-renew isang linggo na ang nakalipas, ngunit sa ilang kadahilanan ay hindi ito nangyari at ang katotohanang ito ay hindi napansin. Ngayon, ilang minuto pagkatapos simulan ang browser, isang babala ang ipinapakita tungkol sa mga add-on na hindi pinagana dahil sa mga problema sa digital signature, at ang mga add-on ay nawawala sa listahan. Ang digital signature ay sinusuri isang beses sa isang araw o pagkatapos na ilunsad ang browser, kaya sa mga matagal nang pagkakataon ng Firefox, ang mga add-on ay maaaring hindi agad ma-disable.
Bilang solusyon upang maibalik ang access sa mga add-on para sa mga user ng Linux, maaari mong i-disable ang digital signature verification sa pamamagitan ng pagtatakda ng variable na "xpinstall.signatures.required" sa "false" sa about:config. Gumagana lang ang paraang ito para sa mga stable at beta na release sa Linux at Android para sa Windows at macOS, posible lang ang ganitong pagmamanipula sa gabi-gabing build at sa Developer Edition. Bilang isang opsyon, maaari mo ring baguhin ang halaga ng system clock sa oras bago mag-expire ang certificate, pagkatapos ay babalik ang kakayahang mag-install ng mga add-on mula sa AMO catalog, ngunit ang naka-install na disable na flag ay hindi aalisin.
Paalalahanan ka namin na ang mandatoryong pag-verify ng mga add-on ng Firefox gamit ang mga digital na lagda ay noong Abril 2016. Ayon kay Mozilla, pinapayagan ka ng digital signature verification na harangan ang pagkalat ng mga nakakahamak na add-on na sumubaybay sa mga user. Ilang add-on na developer sa posisyong ito, naniniwala sila na ang mekanismo ng mandatoryong pag-verify gamit ang isang digital na lagda ay lumilikha lamang ng mga paghihirap para sa mga developer at humahantong sa isang pagtaas sa oras na kinakailangan upang magdala ng mga corrective release sa mga user, nang hindi naaapektuhan ang seguridad sa anumang paraan. Maraming walang kuwenta at halata upang i-bypass ang automated check para sa mga add-on na nagpapahintulot sa malisyosong code na maipasok nang hindi napapansin, halimbawa, sa pamamagitan ng pagbuo ng isang operasyon sa mabilisang pagsasama-sama ng ilang mga string at pagkatapos ay i-execute ang resultang string sa pamamagitan ng pagtawag sa eval. posisyon ni Mozilla Ang dahilan ay ang karamihan sa mga may-akda ng mga nakakahamak na add-on ay tamad at hindi gagamitin ang mga ganitong pamamaraan upang itago ang malisyosong aktibidad.
Addendum: Mga Nag-develop ng Mozilla tungkol sa simula ng pagsubok sa pag-aayos, na, kung matagumpay na masuri, ay malapit nang ipaalam sa mga user (ang desisyon sa paglalapat ng iminungkahing pag-aayos ay hindi pa nagagawa). Ang pagbuo ng digital signature para sa mga bagong add-on ay hindi pinagana hanggang sa mailapat ang pag-aayos.
Pinagmulan: opennet.ru