Nedavno Mozilla je dala izjavu u kojoj je upozorila na ogromne probleme s dodacima za Firefox. Pa, za nekoliko sati, mnogi su korisnici počeli shvaćati da su dodaci preglednika blokirani.
To je zato kako je objasnila Mozilla u svojoj izjavi po isteku certifikata koji se koristi za generiranje digitalnih potpisa. Pored toga, nemogućnost instaliranja novih dodataka iz službenog AMO kataloga (addons.mozilla.org).
Suočeni sa velikim problemom koji se pojavio, Programeri Mozille počeli su raditi na razmatranju mogućih rješenjai do sada su bili ograničeni na opću potvrdu situacije.
Samo se to spominje Dodaci su postali neaktivni nakon početka 0 sati (UTC) 4. maja. Potvrda je trebala biti ažurirana prije tjedan dana, ali se iz nekog razloga to nije dogodilo i ta činjenica je prošla nezapaženo.
Sada, nekoliko minuta nakon pokretanja preglednika, prikazuje se upozorenje o onemogućavanju dodataka zbog problema s digitalnim potpisom i dodaci nestaju sa liste
Digitalni potpisi provjeravaju se jednom dnevno ili nakon pokretanja preglednika, pa se dodaci ne mogu odmah onemogućiti na dugotrajnim instancama Firefoxa.
Zašto je potreban Mozilla certifikat?
Sav ovaj problem nastao je jer obavezna provjera dodatka Firefox pomoću digitalnih potpisa predstavljen je u aprilu 2016.
Prema Mozilli, ček digitalni potpis omogućava vam blokiranje distribucije zlonamjernih dodataka i špijunskog softvera.
Neki se programeri dodataka ne slažu s ovom pozicijom i vjeruju da mehanizam obavezne provjere digitalnog potpisa samo stvara poteškoće programerima i dovodi do povećanja vremena komunikacije korektivnih verzija za korisnike bez utjecaja na sigurnost.
Postoje mnoge trivijalne i očigledne tehnike za zaobilaženje automatskog sistema za provjeru dodataka koje vam omogućavaju neprimjetno umetanje zlonamjerne osobe u zlonamjeran kôd, na primjer, izvođenjem trenutnih operacija povezivanjem više linija, a zatim izvršavanjem linije koja je zove eval.
Ipak, Mozillina pozicija svodi se na činjenicu da su većina zlonamernih autora dodataka lijeni i neće pribjegavati sličnim tehnikama da sakriju zlonamjerne aktivnosti.
Moguća rješenja?
Kao zaobilazno rješenje za obnavljanje pristupa dodacima za Korisnici Linuxa, ove može onemogućiti provjeru digitalnog potpisa postavljanje varijable "Potreban je Xpinstall.signatures.signatures»en o: config a «lažan".
Ova metoda za stabilne i beta verzije radi samo na Linuxu i Androidu, para Windows i macOS, takva manipulacija to je moguće samo u firefox noćnim verzijama i u verziji za programere (izdanje za programere).
Alternativno, također možete promijeniti vrijednost sistemskog sata za vrijeme prije isteka certifikata, tada će se vratiti mogućnost instaliranja dodataka iz AMO kataloga, ali već postavljena oznaka za odspajanje neće se ukloniti.
Izvještaji o Mozilla praćenju izvještaja
Tokom vremenskog perioda u kojem je problem nastao, programeri Mozille najavili su početak jednog od mnogih testova, u kojem bi moglo biti moguće rješenje koje će, ako bude uspješno potvrđeno, uskoro biti priopćeno korisnicima (odluka o prijavi predloženo rješenje još nije doneseno).
Generiranje digitalnog potpisa za nove programske dodatke je onemogućeno dok se popravak ne primijeni.
U 13:50 (MSK) započela je distribucija rješenja, na korisničkoj strani koja vraća onemogućene dodatke. Rješenje će se automatski preuzeti putem sistema isporuke ažuriranja i primijeniti u roku od nekoliko sati.
Da bi se ubrzala isporuka zakrpe, zamišljen je i kao "istraživanje" provedeno među korisnicima kako bi se ovo aktiviralo, korisnik mora otići na odjeljak "Firefox postavke -> Privatnost i sigurnost -> Omogućiti Firefoxu da se instalira i pokrene studije ”(„ Postavke Firefoxa -> Privatnost i sigurnost -> Dozvoli Firefoxu da instalira i pokreće studije “).
Ovo rješenje je odmah uspjelo za mene. Zakrpa se mora preuzeti drugim pregledačem. Zatim se povlači u prozor dodataka Firefox i problem je riješen.
https://www.youtube.com/watch?v=wJqiUb9WriM