Mozilla Şirketi kitlenin ortaya çıkışı hakkında Firefox için eklentilerle. Dijital imza oluşturmak için kullanılan sertifikanın süresinin dolması nedeniyle tüm tarayıcı kullanıcıları için eklentiler engellendi. Ayrıca resmi katalogdan yeni eklentiler kurmanın mümkün olmadığı da belirtiliyor. (addons.mozilla.org).
Şimdilik bu durumdan çıkış yolu Mozilla geliştiricileri olası düzeltmeleri düşünüyor ve şu ana kadar kendilerini yalnızca durumun genel olarak doğrulanmasıyla sınırladılar. Yalnızca eklentilerin 0 Mayıs saat 4'dan (UTC) sonra devre dışı kaldığı belirtiliyor. Sertifikanın bir hafta önce yenilenmesi gerekiyordu ancak nedense bu gerçekleşmedi ve bu durum gözden kaçtı. Artık tarayıcıyı başlattıktan birkaç dakika sonra, dijital imza sorunları nedeniyle eklentilerin devre dışı bırakıldığına dair bir uyarı görüntüleniyor ve eklentiler listeden kayboluyor. Dijital imza günde bir kez veya tarayıcı başlatıldıktan sonra kontrol edilir; dolayısıyla Firefox'un uzun süre çalıştığı durumlarda eklentiler hemen devre dışı bırakılamayabilir.
Linux kullanıcılarının eklentilere erişimini geri yüklemeye yönelik bir geçici çözüm olarak, about:config dosyasında "xpinstall.signatures.required" değişkenini "false" olarak ayarlayarak dijital imza doğrulamasını devre dışı bırakabilirsiniz. Kararlı ve beta sürümlere yönelik bu yöntem yalnızca Linux ve Android'de çalışır; Windows ve macOS için bu tür manipülasyon yalnızca gecelik sürümlerde ve Developer Edition'da mümkündür. Bir seçenek olarak, sistem saatinin değerini sertifikanın süresi dolmadan önceki süreye de değiştirebilirsiniz, ardından AMO kataloğundan eklenti yükleme yeteneği geri dönecek, ancak önceden yüklenmiş olan devre dışı bırakma bayrağı kaldırılmayacaktır.
Firefox eklentilerinin dijital imzalar kullanılarak doğrulanmasının zorunlu olduğunu hatırlatalım. Nisan 2016'da. Mozilla'ya göre dijital imza doğrulama, kullanıcıları gözetleyen kötü amaçlı eklentilerin yayılmasını engellemenize olanak tanıyor. Bazı eklenti geliştiricileri Bu konumla, dijital imza kullanan zorunlu doğrulama mekanizmasının yalnızca geliştiriciler için zorluk yarattığına ve güvenliği hiçbir şekilde etkilemeden kullanıcılara düzeltici sürümlerin getirilmesi için gereken sürenin artmasına yol açtığına inanıyorlar. Pek çok önemsiz ve bariz şey var kötü amaçlı kodların fark edilmeden eklenmesine izin veren eklentilerin otomatik kontrolünü atlamak için; örneğin, birkaç dizeyi birleştirerek anında bir işlem oluşturmak ve ardından eval'ı çağırarak elde edilen dizeyi yürütmek. Mozilla'nın konumu Bunun nedeni, kötü amaçlı eklenti yazarlarının çoğunun tembel olması ve kötü amaçlı etkinlikleri gizlemek için bu tür tekniklere başvurmamasıdır.
Ek: Mozilla Geliştiricileri Başarılı bir şekilde test edilmesi durumunda yakında kullanıcılara iletilecek olan düzeltmenin test edilmesine başlanması hakkında (önerilen düzeltmenin uygulanmasına ilişkin karar henüz verilmemiştir). Düzeltme uygulanana kadar yeni eklentiler için dijital imza oluşturma devre dışı bırakılır.
Kaynak: opennet.ru