наскоро Mozilla направи изявление, в което предупреди за огромни проблеми с добавките за Firefox. Е, за броени часове много потребители започнаха да усещат, че добавките на браузъра са блокирани.
Това е така, защото както е обяснено от Mozilla в нейното изявление при изтичане на срока на сертификата, използван за генериране на цифрови подписи. В допълнение, невъзможността за инсталиране на нови добавки от официалния каталог на AMO (addons.mozilla.org).
Изправен пред големия проблем, който възникна, Разработчиците на Mozilla започнаха да работят, като обмислят възможни решенияи досега са били ограничени до общо потвърждение на ситуацията.
Само се споменава, че Приставките станаха неактивни след началото на 0 часа (UTC) на 4 май. Сертификатът трябваше да бъде актуализиран преди седмица, но по някаква причина това не се случи и този факт остана незабелязан.
Сега, няколко минути след стартирането на браузъра, се показва предупреждение за деактивиране на приставки поради проблеми с цифровия подпис и добавките изчезват от списъка.
Цифровите подписи се проверяват веднъж на ден или след стартиране на браузъра, така че добавките не могат да бъдат незабавно деактивирани в дълготрайни екземпляри на Firefox.
Защо е необходим сертификат Mozilla?
Целият този проблем възникна, защото задължителна проверка на приставката Firefox, използващ цифрови подписи е въведена през април 2016г.
Според Mozilla, проверка цифров подпис ви позволява да блокирате разпространението на злонамерени добавки и шпионски софтуер.
Някои разработчици на приставки не са съгласни с тази позиция и смятат, че механизмът за задължителна проверка на цифровия подпис само създава затруднения за разработчиците и води до увеличаване на времето за комуникация на коригиращите версии до потребителите, без да се засяга сигурността.
Има много тривиални и очевидни техники за заобикаляне на автоматизираната система за проверка на приставки, които ви позволяват безпроблемно да вмъквате злонамерен човек в злонамерен код, например чрез извършване на операция в движение чрез свързване на множество редове и след това изпълнение на линията призоваващ eval.
И все пак позицията на Mozilla се свежда до факта, че повечето злонамерени автори на добавки са мързеливи и няма да прибягват до подобни техники, за да скрият злонамерена дейност.
Възможни решения?
Като заобиколно решение за подновяване на достъпа до добавки за Потребители на LinuxТези може да деактивира проверката на цифровия подпис задаване на променливата "Изисква се Xpinstall.signatures."в about: конфиг до «фалшив".
Този метод за стабилни и бета версии работи само на Linux и Android, за Windows и macOS, такава манипулация възможно е само в нощни версии на firefox и във версията за разработчици (Developer Edition).
Като алтернатива, можете също да промените стойността на системния часовник за време преди изтичането на сертификата, тогава ще се върне опцията за инсталиране на приставки от каталога на AMO, но вече зададеният маркер за изключване няма да бъде премахнат.
Доклади за проследяване на отчети на Mozilla
През периода на генериране на проблема разработчиците на Mozilla обявиха началото на един от многото тестове, в които може да бъде възможно решение, което, ако бъде успешно проверено, скоро ще бъде съобщено на потребителите (решение за кандидатстване предложеното решение все още не е направено).
Генерирането на цифров подпис за нови добавки е деактивирано, докато се приложи корекцията.
В 13:50 (MSK) започна разпространението на решението от страна на потребителя, която връща деактивираните приставки. Решението ще бъде автоматично изтеглено чрез системата за доставка на актуализации и приложено в рамките на няколко часа.
За да се ускори доставката на пластира, той също е проектиран като "проучване", проведено сред потребителите, за да се активира това, потребителят трябва да отиде в раздела "Предпочитания на Firefox -> Поверителност и сигурност -> Разрешаване на Firefox да инсталира и стартира проучвания ”(„ Предпочитания на Firefox -> Поверителност и сигурност -> Разрешаване на Firefox да инсталира и изпълнява проучвания “).
Това решение ми подейства веднага. Пластирът трябва да бъде изтеглен с друг браузър. След това се плъзга до прозореца на добавките на Firefox и проблемът е решен.
https://www.youtube.com/watch?v=wJqiUb9WriM