Nedávno Mozilla učinila prohlášení, ve kterém varovala před masivními problémy s doplňky pro Firefox. Během několika hodin začalo mnoho uživatelů vnímat, že doplňky prohlížeče jsou blokovány.
To je proto, že jak vysvětluje Mozilla ve svém prohlášení po vypršení platnosti certifikátu použitého ke generování digitálních podpisů. Navíc nemožnost instalace nových doplňků z oficiálního katalogu AMO (addons.mozilla.org).
Tváří v tvář velkému problému, který vznikl, Vývojáři Mozilly začali pracovat na zvažování možných řešenís a doposud se omezovaly na obecné potvrzení situace.
Je to jen zmíněno Pluginy byly neaktivní po začátku 0 hodin (UTC) 4. května. Certifikát měl být aktualizován před týdnem, ale z nějakého důvodu se tak nestalo a tato skutečnost zůstala bez povšimnutí.
Nyní, několik minut po spuštění prohlížeče, zobrazí se varování o deaktivaci pluginů kvůli problémům s digitálním podpisem a doplňky ze seznamu zmizí.
Digitální podpisy se ověřují jednou denně nebo po spuštění prohlížeče, takže doplňky nelze v instancích Firefoxu s dlouhou životností okamžitě deaktivovat.
Proč je potřeba certifikát Mozilla?
Celý tento problém nastal, protože povinné ověření modulu plug-in Firefox pomocí digitálních podpisů byl představen v dubnu 2016.
Podle Mozilly, kontrola digitální podpis umožňuje blokovat distribuci škodlivých doplňků a spywaru.
Někteří vývojáři zásuvných modulů s touto pozicí nesouhlasí a domnívají se, že mechanismus povinného ověřování digitálního podpisu pouze vytváří potíže vývojářům a vede ke zvýšení doby komunikace opravných verzí s uživateli, aniž by to ovlivnilo zabezpečení.
Existuje mnoho triviálních a zřejmých technik, jak obejít automatický systém kontroly pluginů, který vám umožní bezproblémově vložit škodlivou osobu do škodlivého kódu, například provedením operace za běhu připojením více linek a následným provedením řádku výsledkem volání eval.
Pozice Mozilly však spočívá ve skutečnosti, že většina škodlivých autorů doplňků je líná a neuchýlí se k podobným technikám, aby škodlivou činnost skryla.
Možné řešení?
Jako řešení pro obnovení přístupu k doplňkům pro Uživatelé LinuxuTyto může deaktivovat ověření digitálního podpisu nastavení proměnné "Xpinstall.signatures.requiredV o: config a «nepravdivý".
Tato metoda pro stabilní a beta verzi funguje pouze v systémech Linux a Android, bod Windows a MacOS, taková manipulace je to možné pouze v nočních verzích firefoxu a ve verzi pro vývojáře (Developer Edition).
Alternativně, můžete také změnit hodnotu systémových hodin na dobu před vypršením platnosti certifikátu, poté bude vrácena možnost instalace pluginů z katalogu AMO, ale již nastavená značka odpojení nebude odstraněna.
Zprávy o sledování zpráv Mozilla
Během období, ve kterém byl problém generován, oznámili vývojáři Mozilly zahájení jednoho z mnoha testů, ve kterých by mohlo být možné řešení, které, pokud bude úspěšně ověřeno, bude brzy sděleno uživatelům (rozhodnutí použít navrhované řešení ještě nebylo učiněno).
Generování digitálního podpisu pro nové doplňky je zakázáno, dokud nebude použita oprava.
V 13:50 (MSK) začala distribuce řešení na straně uživatele, který vrací zakázané doplňky. Řešení bude automaticky staženo prostřednictvím systému pro doručování aktualizací a použito během několika hodin.
Aby se urychlilo dodání opravy, je také navržen jako „průzkum“ prováděný mezi uživateli za účelem jeho aktivace. Uživatel musí přejít do sekce „Předvolby Firefoxu -> Ochrana osobních údajů a zabezpečení -> Povolit Firefoxu instalaci a spuštění studies “(„ Předvolby Firefoxu -> Ochrana osobních údajů a zabezpečení -> Povolit Firefoxu instalovat a spouštět studie “).
Toto řešení pro mě fungovalo hned. Opravu je třeba stáhnout pomocí jiného prohlížeče. Poté se přetáhne do okna doplňků Firefoxu a problém je vyřešen.
https://www.youtube.com/watch?v=wJqiUb9WriM