Недавно Mozilla сделала заявление, в котором предупредила о серьезных проблемах с надстройками. для Firefox. Что ж, в считанные часы многие пользователи начали понимать, что надстройки браузера заблокированы.
Это потому что как поясняет Mozilla в своем заявлении по истечении срока действия сертификата, используемого для создания цифровых подписей. Кроме того, невозможность установки новых дополнений из официального каталога AMO (addons.mozilla.org).
Столкнувшись с возникшей большой проблемой, Разработчики Mozilla начали работу над возможными решениямиs и до сих пор ограничивались общим подтверждением ситуации.
Упоминается только, что Плагины стали неактивными после начала 0 часов (UTC) 4 мая. Сертификат нужно было обновить неделю назад, но этого почему-то не произошло и этот факт остался незамеченным.
Теперь, через несколько минут после запуска браузера, отображается предупреждение об отключении плагинов из-за проблем с цифровой подписью и надстройки исчезают из списка.
Цифровые подписи проверяются один раз в день или после запуска браузера, поэтому надстройки нельзя сразу отключить на долгоживущих экземплярах Firefox.
Зачем нужен сертификат Mozilla?
Вся эта проблема возникла потому, что обязательная проверка плагина Firefox с использованием цифровых подписей был представлен в апреле 2016 года.
Согласно Mozilla, проверка цифровой подписи позволяет блокировать распространение вредоносных надстроек и шпионского ПО.
Некоторые разработчики плагинов не согласны с этой позицией и считают, что механизм обязательной проверки цифровой подписи только создает трудности для разработчиков и приводит к увеличению времени передачи исправляющих версий пользователям без ущерба для безопасности.
Существует множество тривиальных и очевидных методов обхода автоматизированной системы проверки плагинов, которые позволяют беспрепятственно вставить злонамеренного человека, вводящего вредоносный код, например, выполняя операцию на лету, соединяя несколько линий, а затем выполняя строку, полученную путем вызова eval.
Однако позиция Mozilla сводится к тому, что большинство авторов вредоносных надстроек ленивы и не прибегают к аналогичным методам для сокрытия вредоносной активности.
Возможные решения?
В качестве обходного пути для возобновления доступа к надстройкам для Пользователи LinuxЭти можно отключить проверку цифровой подписи установка переменной "Xpinstall.signatures.required"В о: конфиг в 'ложный».
Этот метод для стабильной и бета-версий работает только на Linux и Android, для Windows и macOSтакие манипуляции возможно только в ночных версиях firefox и в версии для разработчиков (Developer Edition).
С другой стороны, вы также можете изменить значение системных часов на время до истечения срока действия сертификата, то будет возвращена опция установки плагинов из каталога AMO, но уже установленный тег отключения не будет удален.
Отчеты об отслеживании отчетов Mozilla
В течение периода времени, когда возникла проблема, разработчики Mozilla объявили о начале одного из множества тестов, в котором это могло быть возможным решением, которое, в случае успешной проверки, вскоре будет передано пользователям (решение о применении предлагаемое решение еще не принято).
Генерация цифровой подписи для новых надстроек отключена, пока не будет применено исправление.
В 13:50 (мск) началась раздача решения на стороне пользователя, возвращающей отключенные плагины. Решение будет автоматически загружено через систему доставки обновлений и применено в течение нескольких часов.
Чтобы ускорить доставку патча, он также разработан как «исследование», проводимое среди пользователей, чтобы активировать его, пользователь должен перейти в раздел «Настройки Firefox -> Конфиденциальность и безопасность -> Разрешить установку и запуск Firefox. исследования »(« Настройки Firefox -> Конфиденциальность и безопасность -> Разрешить Firefox устанавливать и запускать исследования »).
Это решение сразу сработало для меня. Патч необходимо загрузить в другом браузере. Затем он перетаскивается в окно надстроек Firefox, и проблема решается.
https://www.youtube.com/watch?v=wJqiUb9WriM