Firefox-add-ons zijn uitgeschakeld omdat het Mozilla-certificaat is verlopen

Darkcrizt

4 minuten

onlangs Mozilla legde een verklaring af waarin het waarschuwde voor enorme problemen met add-ons voor Firefox. Nou, binnen een paar uur begonnen veel gebruikers in te zien dat de browser-add-ons waren geblokkeerd.

Dit is zo omdat zoals uitgelegd door Mozilla in zijn verklaring na het verlopen van het certificaat dat wordt gebruikt om digitale handtekeningen te genereren. Bovendien is de onmogelijkheid om nieuwe add-ons te installeren uit de officiële AMO-catalogus (addons.mozilla.org).

Geconfronteerd met het grote probleem dat zich voordeed, de Mozilla-ontwikkelaars begonnen te werken aan mogelijke oplossingens en waren tot dusverre beperkt tot algemene bevestiging van de situatie.

Er wordt alleen dat vermeld Plug-ins zijn inactief geworden na de start van 0 uur (UTC) op 4 mei. Het certificaat had een week geleden moeten zijn bijgewerkt, maar om de een of andere reden is dit niet gebeurd en is dit feit onopgemerkt gebleven.

Nu, een paar minuten nadat de browser is gestart, er wordt een waarschuwing weergegeven over het uitschakelen van plug-ins vanwege problemen met de digitale handtekening en add-ons verdwijnen uit de lijst.

Digitale handtekeningen worden één keer per dag geverifieerd of nadat de browser is gestart, dus add-ons kunnen niet onmiddellijk worden uitgeschakeld op langdurige Firefox-instanties.

Waarom is een Mozilla-certificaat nodig?

Al dit probleem is ontstaan ​​omdat verplichte plug-in verificatie Firefox met behulp van digitale handtekeningen werd geïntroduceerd in april 2016.

Volgens Mozilla, een controle digitale handtekening stelt u in staat de distributie van kwaadaardige add-ons en spyware te blokkeren.

Sommige ontwikkelaars van plug-ins zijn het niet eens met dit standpunt en zijn van mening dat het verplichte verificatiemechanisme voor digitale handtekeningen alleen voor ontwikkelaars problemen oplevert en leidt tot een langere communicatietijd van correctieve versies naar gebruikers zonder de beveiliging aan te tasten.

Er zijn veel triviale en voor de hand liggende technieken om het geautomatiseerde verificatiesysteem van plug-ins te omzeilen waarmee u naadloos een kwaadwillende persoon die kwaadaardige code injecteert, kunt invoegen, bijvoorbeeld door een directe bewerking uit te voeren door meerdere lijnen met elkaar te verbinden en vervolgens de lijn uit te voeren. eval bellen.

Toch komt Mozilla's standpunt neer op het feit dat de meeste kwaadwillende add-on-auteurs lui zijn en geen toevlucht nemen tot vergelijkbare technieken om kwaadaardige activiteiten te verbergen.

Mogelijke oplossingen?

Als tijdelijke oplossing om de toegang tot add-ons voor Linux-gebruikersDeze kan verificatie van digitale handtekeningen uitschakelen het instellen van de variabele "Xpinstall.signatures.vereist"In over: config a «vals".

Deze methode voor stabiele en bètaversies werkt alleen op Linux en Android, voor Windows en macOS, dergelijke manipulatie het is alleen mogelijk in Firefox Nightly-versies en in de versie voor ontwikkelaars (Developer Edition).

Alternatief, u kunt ook de waarde van de systeemklok wijzigen voor een tijd voordat het certificaat verloopt, dan wordt de optie om plug-ins uit de AMO-catalogus te installeren teruggegeven, maar de reeds ingestelde verbindingstag wordt niet verwijderd.

Rapporten over het bijhouden van Mozilla-rapporten

Gedurende de periode waarin het probleem werd gegenereerd, kondigden de Mozilla-ontwikkelaars de start aan van een van de vele tests, waarin het een mogelijke oplossing zou kunnen zijn die, indien succesvol geverifieerd, binnenkort aan gebruikers zal worden gecommuniceerd (een besluit om toe te passen de voorgestelde oplossing is nog niet gemaakt).

Het genereren van digitale handtekeningen voor nieuwe invoegtoepassingen is uitgeschakeld totdat de correctie is toegepast.

Om 13:50 uur (MSK) begon de distributie van de oplossing, aan de gebruikerskant die de uitgeschakelde plug-ins retourneert. De oplossing wordt automatisch gedownload via het updateleveringssysteem en binnen een paar uur toegepast.

Om de levering van de patch te versnellen, is het ook ontworpen als een "onderzoek" dat onder gebruikers wordt uitgevoerd om dit te activeren, de gebruiker moet naar de sectie "Firefox-voorkeuren -> Privacy en beveiliging -> Firefox toestaan ​​om te installeren en uit te voeren studies ”(" Firefox-voorkeuren -> Privacy en beveiliging -> Firefox toestaan ​​om onderzoeken te installeren en uit te voeren ").


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Osvaldo zei
    geleden Tot 5 jaar

    Deze oplossing werkte meteen voor mij. De patch moet met een andere browser worden gedownload. Vervolgens wordt het naar het Firefox-add-onsvenster gesleept en is het probleem opgelost.
    https://www.youtube.com/watch?v=wJqiUb9WriM

    Reageer op Osvaldo