摩斯拉公司 關於大眾的出現 帶有 Firefox 的附加元件。對於所有瀏覽器使用者來說,由於用於產生數位簽章的憑證過期,加載項被阻止。另外,要注意的是,無法從官方目錄安裝新的附加元件 (addons.mozilla.org)。
目前擺脫這種局面的出路 ,Mozilla 開發人員正在考慮可能的修復方案,並且到目前為止僅限於對情況進行一般性確認。僅提到該附加元件在 0 月 4 日 XNUMX 小時(UTC)後變得不活躍。該證書本應在一周前更新,但由於某種原因沒有更新,這一事實也沒有引起人們的注意。現在,啟動瀏覽器幾分鐘後,會顯示一條警告,表示由於數位簽章問題,加載項已停用,且加載項從清單中消失。數位簽章每天或在瀏覽器啟動後檢查一次,因此在長期運行的 Firefox 實例中,加載項可能不會立即停用。
作為恢復 Linux 使用者對加載項的存取權限的解決方法,您可以透過在 about:config 中將變數「xpinstall.signatures.required」設定為「false」來停用數位簽章驗證。這種針對穩定版和測試版的方法僅適用於 Linux 和 Android;對於 Windows 和 macOS,此類操作僅在夜間建置和開發人員版本中可行。作為選項,您也可以將系統時鐘的值變更為憑證過期之前的時間,然後將恢復從 AMO 目錄安裝附加元件的能力,但不會刪除已安裝的停用標誌。
讓我們提醒您,使用數位簽章對 Firefox 附加元件進行強制驗證是 2016年XNUMX月。根據 Mozilla 的說法,數位簽章驗證可以阻止監視使用者的惡意插件的傳播。一些附加開發人員 基於這一立場,他們認為使用數位簽章的強制驗證機制只會給開發人員帶來困難,並導致向使用者提供修正版本所需的時間增加,而不會以任何方式影響安全性。有很多瑣碎且顯而易見的事情 繞過對允許在不被注意的情況下插入惡意程式碼的附加元件的自動檢查,例如,透過連接多個字串來動態產生操作,然後透過呼叫 eval 執行產生的字串。 Mozilla 的立場 原因是大多數惡意附加元件的作者都很懶,不會採用此類技術來隱藏惡意活動。
附錄:Mozilla 開發人員 關於開始測試修復程序,如果測試成功,很快就會通知用戶(尚未做出應用建議修復程序的決定)。在應用修復之前,新附加元件的數位簽章產生將被停用。
來源: opennet.ru