Nesen Mozilla nāca klajā ar paziņojumu, kurā brīdināja par milzīgām problēmām ar papildinājumiem priekš Firefox. Nu, dažu stundu laikā daudzi lietotāji sāka saprast, ka pārlūka papildinājumi ir bloķēti.
Tas ir tāpēc, ka kā savā paziņojumā paskaidroja Mozilla beidzoties sertifikāta derīguma termiņam, kas izmantots digitālo parakstu ģenerēšanai. Turklāt nav iespējams instalēt jaunus papildinājumus no oficiālā AMO kataloga (addons.mozilla.org).
Saskaroties ar lielo radušos problēmu, Mozilla izstrādātāji sāka strādāt, apsverot iespējamos risinājumuss un līdz šim ir aprobežojies ar vispārēju situācijas apstiprināšanu.
Tas ir tikai minēts Spraudņi kļuva neaktīvi pēc 0 stundu sākuma (UTC) 4. maijā. Sertifikāts bija jāatjaunina pirms nedēļas, taču nez kāpēc tas nenotika, un šis fakts palika nepamanīts.
Dažas minūtes pēc pārlūkprogrammas palaišanas tiek parādīts brīdinājums par spraudņu atspējošanu digitālā paraksta problēmu dēļ un papildinājumi pazūd no saraksta.
Digitālos parakstus pārbauda vienu reizi dienā vai pēc pārlūka palaišanas, tāpēc ilgstošos Firefox gadījumos pievienojumprogrammas nevar nekavējoties atspējot.
Kāpēc ir nepieciešams Mozilla sertifikāts?
Visa šī problēma radās tāpēc, ka obligāta spraudņu pārbaude Firefox, izmantojot digitālos parakstus tika ieviests 2016. gada aprīlī.
Pēc Mozilla domām, parbaude Digitālais paraksts ļauj bloķēt ļaunprātīgu pievienojumprogrammu un spiegprogrammatūru izplatīšanu.
Daži spraudņu izstrādātāji nepiekrīt šai nostājai un uzskata, ka obligātais digitālā paraksta pārbaudes mehānisms tikai rada grūtības izstrādātājiem un palielina korektīvo versiju saziņas laiku ar lietotājiem, neietekmējot drošību.
Ir daudz nenopietnu un acīmredzamu paņēmienu, kā apiet automātisko spraudņu pārbaudes sistēmu, kas ļauj vienmērīgi ievietot ļaunprātīgu personu, injicējot ļaunprātīgu kodu, piemēram, veicot darbības lidojuma laikā, savienojot vairākas līnijas un pēc tam izpildot līniju. aicinot eval.
Tomēr Mozilla nostāja ir saistīta ar faktu, ka lielākā daļa ļaunprātīgo papildinājumu autoru ir slinki un neizmantos līdzīgas metodes, lai slēptu ļaunprātīgu darbību.
Iespējamie risinājumi?
Kā risinājums, lai atjaunotu piekļuvi vietnei Linux lietotājiŠis var atspējot digitālā paraksta pārbaudi mainīgā iestatīšana "Xpinstall.signatures.required"In par: konfigur uz «nepatiess".
Šī metode stabilām un beta versijām darbojas tikai Linux un Android, par Windows un macOS, šādas manipulācijas tas ir iespējams tikai Firefox nakts versijās un versijā izstrādātājiem (Developer Edition).
Alternatīvi jūs varat arī mainīt sistēmas pulksteņa vērtību uz laiku pirms sertifikāta derīguma termiņa beigām, tad tiks atgriezta iespēja instalēt spraudņus no AMO kataloga, taču jau iestatītā atvienošanas atzīme netiks noņemta.
Pārskati par Mozilla ziņojumu izsekošanu
Laika posmā, kurā radās problēma, Mozilla izstrādātāji paziņoja par viena no daudzajiem testiem sākumu, kurā tas varētu būt iespējamais risinājums, kas, veiksmīgi pārbaudot, drīz tiks paziņots lietotājiem (lēmums pieteikties ierosinātais risinājums vēl nav izdarīts).
Digitālā paraksta ģenerēšana jaunām pievienojumprogrammām ir atspējota, līdz tiek piemērots labojums.
13:50 (MSK) sākās risinājuma izplatīšana lietotāja pusē, kas atgriež atspējotos spraudņus. Risinājums tiks automātiski lejupielādēts, izmantojot atjauninājumu piegādes sistēmu, un piemērots dažu stundu laikā.
Lai paātrinātu plākstera piegādi, tas ir paredzēts arī kā "pētījums", kas tiek veikts lietotāju vidū, lai to aktivizētu, lietotājam ir jādodas uz sadaļu "Firefox preferences -> Konfidencialitāte un drošība -> Atļaut Firefox instalēt un palaist studijas ”(“ Firefox Preferences -> Privacy & Security -> Atļaut Firefox instalēt un vadīt pētījumus ”).
Šis risinājums man noderēja uzreiz. Plāksteris ir jālejupielādē citā pārlūkprogrammā. Tad tas tiek vilkts uz Firefox pievienojumprogrammu logu un problēma ir atrisināta.
https://www.youtube.com/watch?v=wJqiUb9WriM