nedavno Mozilla je dala izjavu u kojoj je upozorila na masovne probleme s dodacima za Firefox. Pa, za nekoliko sati, mnogi su korisnici počeli shvaćati da su dodaci preglednika blokirani.
Ovo je zbog kako je objasnila Mozilla u svojoj izjavi po isteku certifikata koji se koristi za generiranje digitalnih potpisa. Uz to, nemogućnost instaliranja novih dodataka iz službenog AMO kataloga (addons.mozilla.org).
Suočen s velikim problemom koji se pojavio, Programeri Mozille počeli su raditi na razmatranju mogućih rješenjai do sada su bili ograničeni na opću potvrdu situacije.
Samo se spominje da Dodaci su postali neaktivni nakon početka 0 sati (UTC) 4. svibnja. Potvrda je trebala biti ažurirana prije tjedan dana, ali iz nekog se razloga to nije dogodilo i ta je činjenica ostala nezapažena.
Nekoliko minuta nakon pokretanja preglednika, prikazuje se upozorenje o onemogućavanju dodataka zbog problema s digitalnim potpisom i dodaci nestaju s popisa.
Digitalni potpisi provjeravaju se jednom dnevno ili nakon pokretanja preglednika, pa se dodaci ne mogu odmah onemogućiti na dugotrajnim instancama Firefoxa.
Zašto je potreban Mozilla certifikat?
Sav je ovaj problem nastao jer obavezna provjera dodatka Firefox pomoću digitalnih potpisa predstavljen je u travnju 2016. godine.
Prema Mozilli, ček digitalni potpis omogućuje vam blokiranje distribucije zlonamjernih dodataka i špijunskog softvera.
Neki se programeri dodataka ne slažu s ovom pozicijom i vjeruju da mehanizam obvezne provjere digitalnog potpisa samo stvara poteškoće programerima i dovodi do povećanja vremena komunikacije korektivnih verzija s korisnicima bez utjecaja na sigurnost.
Postoje mnoge trivijalne i očite tehnike za zaobilaženje automatiziranog sustava za provjeru dodataka koje vam omogućuju neprimjetno umetanje zlonamjerne osobe koja ubrizgava zlonamjeran kôd, na primjer izvođenjem trenutnih operacija spajanjem više linija i zatim izvršavanjem linije. zove eval.
Ipak, Mozillin stav svodi se na činjenicu da je većina zlonamjernih autora dodataka lijena i neće pribjegavati sličnim tehnikama kako bi sakrila zlonamjerne aktivnosti.
Moguća rješenja?
Kao zaobilazno rješenje za obnavljanje pristupa dodacima za Korisnici Linuxa, ovo može onemogućiti provjeru digitalnog potpisa postavljanje varijable "Potreban je Xpinstall.potpisi»hr o: config do «lažan”.
Ova metoda za stabilne i beta verzije radi samo na Linuxu i Androidu, za Windows i macOS, takva manipulacija to je moguće samo u firefox noćnim verzijama i u verziji za programere (Developer Edition).
Alternativno, također možete promijeniti vrijednost sistemskog sata za vrijeme prije isteka certifikata, tada će se vratiti mogućnost instaliranja dodataka iz AMO kataloga, ali već postavljena oznaka za odspajanje neće se ukloniti.
Izvješća o Mozilla praćenju izvještaja
Tijekom vremenskog razdoblja u kojem je problem nastao, programeri Mozille najavili su početak jednog od mnogih testova, u kojem bi moglo biti moguće rješenje koje će, ako se uspješno provjeri, uskoro biti priopćeno korisnicima (odluka o prijavi predloženo rješenje još nije doneseno).
Generiranje digitalnog potpisa za nove programske dodatke onemogućeno je dok se ne primijeni popravak.
U 13:50 (MSK) započela je distribucija rješenja na korisničkoj strani koja vraća onemogućene dodatke. Rješenje će se automatski preuzeti putem sustava isporuke ažuriranja i primijeniti u roku od nekoliko sati.
Da bi se ubrzala isporuka zakrpe, ona je također zamišljena kao "istraživanje" provedeno među korisnicima kako bi se to aktiviralo, a korisnik mora otići na odjeljak "Postavke Firefoxa -> Privatnost i sigurnost -> Omogućiti Firefoxu da se instalira i pokrene studije ”(„ Postavke Firefoxa -> Privatnost i sigurnost -> Dopusti Firefoxu da instalira i pokreće studije “).
Ovo rješenje mi je odmah uspjelo. Zakrpa se mora preuzeti drugim preglednikom. Zatim se povlači u prozor dodataka za Firefox i problem je riješen.
https://www.youtube.com/watch?v=wJqiUb9WriM