Vor kurzem Mozilla gab eine Erklärung ab, in der es vor massiven Problemen mit Add-Ons warnte für Firefox. Nun, innerhalb weniger Stunden bemerkten viele Benutzer, dass die Browser-Add-Ons blockiert waren.
Das ist weil wie von Mozilla in seiner Erklärung erklärt nach Ablauf des Zertifikats zur Erzeugung digitaler Signaturen. Darüber hinaus ist es unmöglich, neue Add-Ons aus dem offiziellen AMO-Katalog zu installieren (addons.mozilla.org).
Angesichts des großen Problems, das auftrat, war die Mozilla-Entwickler begannen, über mögliche Lösungen nachzudenkens und waren bisher auf die allgemeine Bestätigung der Situation beschränkt.
Es wird nur das erwähnt Plugins wurden nach dem Start von 0 Stunden (UTC) am 4. Mai inaktiv. Das Zertifikat hätte vor einer Woche aktualisiert werden sollen, aber aus irgendeinem Grund ist dies nicht geschehen und diese Tatsache blieb unbemerkt.
Nun, einige Minuten nach dem Start des Browsers, Eine Warnung zum Deaktivieren von Plugins wird angezeigt Aufgrund von Problemen mit der digitalen Signatur verschwinden Add-Ons aus der Liste.
Digitale Signaturen werden einmal am Tag oder nach dem Start des Browsers überprüft, sodass Add-Ons auf langlebigen Firefox-Instanzen nicht sofort deaktiviert werden können.
Warum wird ein Mozilla-Zertifikat benötigt?
All dieses Problem entstand, weil obligatorische Plug-In-Überprüfung Firefox mit digitalen Signaturen wurde im April 2016 eingeführt.
Laut Mozilla ein Test Digitale Unterschrift Mit dieser Option können Sie die Verteilung bösartiger Add-Ons und Spyware blockieren.
Einige Plugin-Entwickler stimmen dieser Position nicht zu und glauben, dass der obligatorische Mechanismus zur Überprüfung der digitalen Signatur nur Schwierigkeiten für Entwickler schafft und zu einer Verlängerung der Kommunikationszeit von Korrekturversionen für Benutzer führt, ohne die Sicherheit zu beeinträchtigen.
Es gibt viele triviale und offensichtliche Techniken zur Umgehung des automatisierten Plugin-Überprüfungssystems, mit denen Sie eine böswillige Person nahtlos in bösartigen Code einfügen können, indem Sie beispielsweise eine On-the-Fly-Operation ausführen, indem Sie mehrere Leitungen verbinden und dann die daraus resultierende Zeile ausführen eval anrufen.
Mozillas Position beruht jedoch auf der Tatsache, dass die meisten böswilligen Add-On-Autoren faul sind und nicht auf ähnliche Techniken zurückgreifen, um böswillige Aktivitäten zu verbergen.
Mögliche Lösungen?
Als Problemumgehung, um den Zugriff auf Add-Ons für zu erneuern Linux-BenutzerDiese kann die Überprüfung der digitalen Signatur deaktivieren Einstellen der Variablen "Xpinstall.signatures.required"Im about: config ein «falsch«.
Diese Methode für stabile und Beta-Versionen funktioniert nur unter Linux und Android. für Windows und MacOS, solche Manipulation Es ist nur in Firefox-Versionen pro Nacht möglich und in der Version für Entwickler (Developer Edition).
Alternative, Sie können den Wert der Systemuhr auch für eine Zeit ändern, bevor das Zertifikat abläuft. Dann wird die Option zum Installieren von Plugins aus dem AMO-Katalog zurückgegeben, aber das bereits festgelegte Trennungs-Tag wird nicht entfernt.
Berichte zur Mozilla-Berichtsverfolgung
Während des Zeitraums, in dem das Problem generiert wurde, kündigten die Mozilla-Entwickler den Start eines der vielen Tests an, bei denen es sich um eine mögliche Lösung handeln könnte, die bei erfolgreicher Überprüfung den Benutzern bald mitgeteilt wird (eine Entscheidung zur Anwendung) Die vorgeschlagene Lösung wurde noch nicht getroffen.
Die Generierung digitaler Signaturen für neue Add-Ins ist deaktiviert, bis der Fix angewendet wird.
Um 13:50 Uhr (MSK) begann die Verteilung der Lösung auf der Benutzerseite, die die deaktivierten Plugins zurückgibt. Die Lösung wird automatisch über das Update Delivery System heruntergeladen und innerhalb weniger Stunden angewendet.
Um die Bereitstellung des Patches zu beschleunigen, wurde er auch als "Recherche" unter Benutzern konzipiert, um dies zu aktivieren. Der Benutzer muss zum Abschnitt "Firefox-Einstellungen -> Datenschutz und Sicherheit -> Firefox zulassen, dass er installiert und ausgeführt wird Studien ”(" Firefox-Einstellungen -> Datenschutz und Sicherheit -> Firefox erlauben, Studien zu installieren und auszuführen ").
Diese Lösung hat bei mir sofort funktioniert. Der Patch muss mit einem anderen Browser heruntergeladen werden. Dann wird es in das Firefox-Add-On-Fenster gezogen und das Problem ist behoben.
https://www.youtube.com/watch?v=wJqiUb9WriM