Pengaya Firefox dinonaktifkan karena sertifikat Mozilla kedaluwarsa

Baru-baru ini Mozilla membuat pernyataan yang memperingatkan masalah besar dengan add-on untuk Firefox. Nah, dalam hitungan jam, banyak pengguna mulai menyadari bahwa add-on browser diblokir.

Hal ini karena seperti yang dijelaskan oleh Mozilla dalam pernyataannya setelah habis masa berlakunya sertifikat yang digunakan untuk menghasilkan tanda tangan digital. Selain itu, ketidakmungkinan memasang add-on baru dari katalog resmi AMO (addons.mozilla.org).

Menghadapi masalah besar yang muncul, itu Pengembang Mozilla mulai bekerja mempertimbangkan kemungkinan solusis dan sejauh ini terbatas pada konfirmasi umum dari situasi tersebut.

Hanya disebutkan itu Plugin menjadi tidak aktif setelah dimulainya 0 jam (UTC) pada tanggal 4 Mei. Sertifikat seharusnya diperbarui seminggu yang lalu, tetapi untuk beberapa alasan hal ini tidak terjadi dan fakta ini tidak diperhatikan.

Sekarang, beberapa menit setelah peramban dimulai, peringatan tentang menonaktifkan plugin ditampilkan karena masalah tanda tangan digital dan add-on menghilang dari daftar.

Tanda tangan digital diverifikasi sekali sehari atau setelah browser dimulai, jadi add-on tidak dapat langsung dinonaktifkan pada instans Firefox yang berumur panjang.

Mengapa sertifikat Mozilla diperlukan?

Semua masalah ini muncul karena verifikasi plugin wajib Firefox menggunakan tanda tangan digital diperkenalkan pada April 2016.

Menurut Mozilla, cek tanda tangan digital memungkinkan Anda memblokir distribusi pengaya dan spyware yang berbahaya.

Beberapa pengembang plugin tidak setuju dengan posisi ini dan percaya bahwa mekanisme verifikasi tanda tangan digital wajib hanya menimbulkan kesulitan bagi pengembang dan mengarah pada peningkatan waktu komunikasi versi korektif kepada pengguna tanpa mempengaruhi keamanan.

Ada banyak teknik yang sepele dan jelas untuk melewati sistem verifikasi plugin otomatis yang memungkinkan Anda memasukkan orang jahat yang memasukkan kode berbahaya dengan mulus, misalnya dengan melakukan operasi sambil jalan dengan menghubungkan beberapa baris dan kemudian menjalankan baris yang dihasilkan dengan memanggil eval.

Namun posisi Mozilla adalah pada fakta bahwa sebagian besar pembuat add-on yang berbahaya malas dan tidak akan menggunakan teknik serupa untuk menyembunyikan aktivitas jahat.

Solusi yang memungkinkan?

Sebagai solusi untuk memperbarui akses ke add-on untuk Pengguna LinuxIni dapat menonaktifkan verifikasi tanda tangan digital mengatur variabel "Xpinstall.signatures.required"Dalam tentang: konfigurasi sebuah «palsu".

Metode untuk versi stabil dan beta ini hanya berfungsi di Linux dan Android, ayat Windows dan macOS, manipulasi tersebut hanya mungkin dalam versi firefox nightly dan dalam versi untuk pengembang (Edisi Pengembang).

Kalau tidak, Anda juga dapat mengubah nilai jam sistem untuk beberapa waktu sebelum sertifikat kedaluwarsa, maka opsi untuk memasang plugin dari katalog AMO akan dikembalikan, tetapi tag pemutusan yang sudah disetel tidak akan dihapus.

Laporan tentang Pelacakan Laporan Mozilla

Selama periode waktu munculnya masalah, pengembang Mozilla mengumumkan dimulainya salah satu dari banyak tes, di mana ini bisa menjadi solusi yang mungkin, jika berhasil diverifikasi, akan segera dikomunikasikan kepada pengguna (keputusan untuk menerapkan solusi yang diusulkan belum dibuat).

Pembuatan tanda tangan digital untuk add-in baru dinonaktifkan hingga perbaikan diterapkan.

---

Pada pukul 13:50 sore (MSK), distribusi solusi dimulai, di sisi pengguna mengembalikan plugin yang dinonaktifkan. Solusinya akan diunduh secara otomatis melalui sistem pengiriman pembaruan dan diterapkan dalam beberapa jam.

---

Untuk mempercepat pengiriman tambalan, itu juga dirancang sebagai "penelitian" yang dilakukan di antara pengguna untuk mengaktifkan ini, pengguna harus pergi ke bagian "Preferensi Firefox -> Privasi dan keamanan -> Izinkan Firefox untuk menginstal dan menjalankan studi ”(" Preferensi Firefox -> Privasi & Keamanan -> Izinkan Firefox menginstal dan menjalankan studi ").