nylig Mozilla uttalte seg der den advarte om store problemer med tillegg for Firefox. I løpet av få timer begynte mange brukere å oppfatte at nettlesertilleggene var blokkert.
Dette er fordi som forklart av Mozilla i uttalelsen ved utløpet av sertifikatet som brukes til å generere digitale signaturer. I tillegg er det umulig å installere nye tillegg fra den offisielle AMO-katalogen (addons.mozilla.org).
Overfor det store problemet som oppstod, Mozilla-utviklere begynte å jobbe med å vurdere mulige løsningers og så langt har vært begrenset til generell bekreftelse av situasjonen.
Det nevnes bare det Plugins ble inaktive etter starten av 0 timer (UTC) 4. mai. Sertifikatet burde ha blitt oppdatert for en uke siden, men av en eller annen grunn skjedde ikke dette, og dette faktum gikk ubemerket.
Nå, noen minutter etter at nettleseren starter, en advarsel om deaktivering av plugins vises på grunn av problemer med digital signatur og tillegg forsvinner fra listen.
Digitale signaturer blir bekreftet en gang om dagen eller etter at nettleseren starter, slik at tillegg ikke kan deaktiveres umiddelbart i langvarige Firefox-forekomster.
Hvorfor trengs et Mozilla-sertifikat?
Alt dette problemet oppstod fordi obligatorisk plugin-bekreftelse Firefox ved hjelp av digitale signaturer ble introdusert i april 2016.
I følge Mozilla, en sjekk digital signatur lar deg blokkere distribusjonen av ondsinnede tilleggsprogrammer og spionprogrammer.
Noen plugin-utviklere er ikke enige i denne posisjonen og mener at den obligatoriske verifiseringsmekanismen for digital signatur bare skaper vanskeligheter for utviklere og fører til en økning i kommunikasjonstiden for korrigerende versjoner til brukere uten å påvirke sikkerheten.
Det er mange trivielle og åpenbare teknikker for å omgå det automatiserte plugin-kontrollsystemet som lar deg sømløst sette inn en ondsinnet person som injiserer skadelig kode, for eksempel ved å utføre en on-the-fly-operasjon ved å koble flere linjer og deretter utføre linjen. kaller eval.
Likevel kommer Mozillas posisjon ned på det faktum at de fleste ondsinnede tilleggsforfattere er late og ikke vil ty til lignende teknikker for å skjule ondsinnet aktivitet.
Mulige løsninger?
Som en løsning for å fornye tilgangen til tilleggsprogrammer for Linux-brukere, disse kan deaktivere bekreftelse av digital signatur sette variabelen "Xpinstall.signatures.required"I om: config til «falsk".
Denne metoden for stabile og betaversjoner fungerer bare på Linux og Android, til Windows og macOS, slik manipulasjon det er bare mulig i Firefox-versjoner hver natt og i versjonen for utviklere (Developer Edition).
Alternativt, du kan også endre verdien på systemklokken en stund før sertifikatet utløper, deretter returneres muligheten til å installere plugins fra AMO-katalogen, men den allerede angitte frakoblingskoden vil ikke bli fjernet.
Rapporter om sporing av Mozilla-rapporter
I løpet av den perioden problemet ble generert, kunngjorde Mozilla-utviklerne starten på en av de mange testene, der det kan være en mulig løsning som, hvis den blir bekreftet, snart vil bli kommunisert til brukerne (en beslutning om å søke den foreslåtte løsningen er ennå ikke laget).
Generering av digital signatur for nye tillegg er deaktivert til reparasjonen er brukt.
Kl. 13:50 (MSK) begynte distribusjonen av løsningen på brukersiden som returnerer de deaktiverte pluginene. Løsningen lastes ned automatisk gjennom oppdateringsleveringssystemet og brukes innen få timer.
For å få raskere levering av oppdateringen, er den også designet som en "undersøkelse" utført blant brukere for å aktivere dette, brukeren må gå til seksjonen "Firefox-preferanser -> Personvern og sikkerhet -> Tillat Firefox å installere og kjøre studier "(" Firefox-innstillinger -> Personvern og sikkerhet -> Tillat Firefox å installere og kjøre studier ").
Denne løsningen fungerte for meg med en gang. Plasteret må lastes ned med en annen nettleser. Deretter dras den til Firefox-tilleggsvinduet, og problemet er løst.
https://www.youtube.com/watch?v=wJqiUb9WriM