Mozilla公司 关于大众的出现 带有 Firefox 的附加组件。 对于所有浏览器用户来说,由于用于生成数字签名的证书过期,加载项被阻止。 另外,需要注意的是,无法从官方目录安装新的附加组件 (addons.mozilla.org)。
目前摆脱这种局面的出路 ,Mozilla 开发人员正在考虑可能的修复方案,并且到目前为止仅限于对情况进行一般性确认。 仅提到该附加组件在 0 月 4 日 XNUMX 小时(UTC)后变得不活跃。 该证书本应在一周前更新,但由于某种原因没有更新,这一事实也没有引起人们的注意。 现在,启动浏览器几分钟后,会显示一条警告,称由于数字签名问题,加载项被禁用,并且加载项从列表中消失。 数字签名每天或在浏览器启动后检查一次,因此在长期运行的 Firefox 实例中,加载项可能不会立即禁用。
作为恢复 Linux 用户对加载项的访问权限的解决方法,您可以通过在 about:config 中将变量“xpinstall.signatures.required”设置为“false”来禁用数字签名验证。 这种针对稳定版和测试版的方法仅适用于 Linux 和 Android;对于 Windows 和 macOS,此类操作仅在夜间构建和开发人员版本中可行。 作为一个选项,您还可以将系统时钟的值更改为证书过期之前的时间,然后将恢复从 AMO 目录安装附加组件的能力,但不会删除已安装的禁用标志。
让我们提醒您,使用数字签名对 Firefox 附加组件进行强制验证是 2016年XNUMX月。 根据 Mozilla 的说法,数字签名验证可以阻止监视用户的恶意插件的传播。 一些附加开发人员 基于这一立场,他们认为使用数字签名的强制验证机制只会给开发人员带来困难,并导致向用户提供纠正版本所需的时间增加,而不会以任何方式影响安全性。 有很多琐碎且显而易见的事情 绕过对允许在不被注意的情况下插入恶意代码的附加组件的自动检查,例如,通过连接多个字符串来动态生成操作,然后通过调用 eval 执行生成的字符串。 Mozilla 的立场 原因是大多数恶意附加组件的作者都很懒,不会采用此类技术来隐藏恶意活动。
附录:Mozilla 开发人员 关于开始测试修复程序,如果测试成功,将很快通知用户(尚未做出应用建议修复程序的决定)。 在应用修复之前,新附加组件的数字签名生成将被禁用。
来源: opennet.ru