Nedávno Mozilla urobila vyhlásenie, v ktorom varovala pred masívnymi problémami s doplnkami pre Firefox. No, v priebehu niekoľkých hodín začali mnohí používatelia vnímať, že doplnky prehliadača sú blokované.
To je preto, že ako vysvetľuje Mozilla vo svojom vyhlásení po uplynutí platnosti certifikátu použitého na generovanie digitálnych podpisov. Ďalej nemožnosť inštalácie nových doplnkov z oficiálneho katalógu AMO (addons.mozilla.org).
Tvárou v tvár veľkému problému, ktorý sa vyskytol, Vývojári Mozilly začali pracovať na zvažovaní možných riešenís a doteraz sa obmedzili na všeobecné potvrdenie situácie.
To sa iba spomína Pluginy boli neaktívne po začiatku 0 hodín (UTC) 4. mája. Certifikát mal byť aktualizovaný pred týždňom, ale z nejakého dôvodu sa tak nestalo a táto skutočnosť zostala nepovšimnutá.
Teraz, pár minút po spustení prehliadača, zobrazí sa varovanie pred zakázaním doplnkov kvôli problémom s digitálnym podpisom a doplnky zmiznú zo zoznamu.
Digitálne podpisy sa overujú raz denne alebo po spustení prehľadávača, takže v inštanciách prehliadača Firefox s dlhou životnosťou nie je možné doplnky okamžite deaktivovať.
Prečo je potrebný certifikát Mozilla?
Celý tento problém nastal, pretože povinné overenie doplnku Firefox pomocou digitálnych podpisov bol predstavený v apríli 2016.
Podľa Mozilly, kontrola digitálny podpis umožňuje blokovať distribúciu škodlivých doplnkov a spyware.
Niektorí vývojári doplnkov nesúhlasia s týmto stanoviskom a domnievajú sa, že povinný mechanizmus overovania digitálneho podpisu iba spôsobuje vývojárom ťažkosti a vedie k predĺženiu času komunikácie opravných verzií s používateľmi bez toho, aby to malo vplyv na bezpečnosť.
Existuje mnoho triviálnych a zrejmých techník na obídenie automatizovaného systému kontroly doplnkov, ktoré vám umožňujú bezproblémovo vložiť škodlivú osobu, ktorá vloží škodlivý kód, napríklad vykonaním operácie za chodu pripojením viacerých liniek a následným vykonaním linky. volanie eval.
Pozícia Mozilly však závisí od skutočnosti, že väčšina škodlivých autorov doplnkov je lenivá a na ukrytie škodlivej činnosti sa neuchýli k podobným technikám.
Možné riešenia?
Ako riešenie obnovenia prístupu k doplnkom pre Používatelia systému Linux, tieto môže zakázať overovanie digitálneho podpisu nastavenie premennej „Vyžaduje sa Xpinstall.signatures.»sk o: konfigur a «nepravdivý".
Táto metóda pre stabilné a beta verzie funguje iba v systémoch Linux a Android, pre Windows a MacOS, taká manipulácia je to možné iba v nočných verziách firefoxu a vo verzii pre vývojárov (Developer Edition).
Alternatívne môžete tiež zmeniť hodnotu systémových hodín na určitý čas pred vypršaním platnosti certifikátu, potom sa vráti možnosť inštalovať doplnky z katalógu AMO, ale už nastavená značka odpojenia nebude odstránená.
Správy o sledovaní prehľadov Mozilla
Počas obdobia, v ktorom sa problém vygeneroval, oznámili vývojári Mozilly zahájenie jedného z mnohých testov, v rámci ktorých by mohlo ísť o možné riešenie, ktoré, ak bude úspešne overené, bude čoskoro oznámené používateľom (rozhodnutie uplatniť navrhované riešenie ešte nebolo prijaté).
Generovanie digitálneho podpisu pre nové doplnky je vypnuté, kým nebude použitá oprava.
O 13:50 (MSK) začala distribúcia riešenia na strane používateľa, ktorá vracia zakázané doplnky. Riešenie sa automaticky stiahne prostredníctvom systému doručovania aktualizácií a do niekoľkých hodín sa použije.
Aby sa urýchlilo doručenie opravy, je navrhnutá aj ako „prieskum“ vykonaný medzi používateľmi, ktorý ju aktivuje. Používateľ musí prejsť do sekcie „Predvoľby prehliadača Firefox -> Ochrana osobných údajov a zabezpečenie -> Povoliť inštaláciu a spustenie prehliadača Firefox. studies “(„ Predvoľby Firefoxu -> Ochrana osobných údajov a zabezpečenie -> Povoliť Firefoxu inštalovať a spúšťať štúdie “).
Toto riešenie sa mi osvedčilo hneď. Oprava musí byť stiahnutá v inom prehliadači. Potom sa presunie do okna doplnkov Firefoxu a problém je vyriešený.
https://www.youtube.com/watch?v=wJqiUb9WriM