nyligen Mozilla gjorde ett uttalande där det varnade för massiva problem med tillägg för Firefox. På några timmar började många användare uppfatta att webbläsartilläggen blockerades.
Det här är för att som förklarats av Mozilla i sitt uttalande vid utgången av certifikatet som används för att generera digitala signaturer. Dessutom är det omöjligt att installera nya tillägg från den officiella AMO-katalogen (addons.mozilla.org).
Inför det stora problemet som uppstod Mozilla-utvecklare började arbeta med att överväga möjliga lösningars och hittills har begränsats till allmän bekräftelse av situationen.
Det nämns bara det Plugins blev inaktiva efter början av 0 timmar (UTC) den 4 maj. Certifikatet borde ha uppdaterats för en vecka sedan, men av någon anledning hände detta inte och detta faktum gick obemärkt förbi.
Nu, några minuter efter att webbläsaren startat, en varning om att inaktivera plugins visas på grund av digitala signaturproblem och tillägg försvinner från listan.
Digitala signaturer verifieras en gång om dagen eller efter att webbläsaren startat, så tillägg kan inte inaktiveras omedelbart i Firefox-länkar.
Varför behövs ett Mozilla-certifikat?
Allt detta problem uppstod för obligatorisk plugin-verifiering Firefox med digitala signaturer introducerades i april 2016.
Enligt Mozilla, en check digital signatur låter dig blockera distributionen av skadliga tillägg och spionprogram.
Vissa plugin-utvecklare håller inte med denna ståndpunkt och tror att den obligatoriska verifieringsmekanismen för digital signatur bara skapar svårigheter för utvecklare och leder till en ökad kommunikationstid för korrigerande versioner till användare utan att påverka säkerheten.
Det finns många triviala och uppenbara tekniker för att kringgå det automatiska plugin-kontrollsystemet som gör att du sömlöst kan infoga en skadlig person som injicerar skadlig kod, till exempel genom att utföra en on-the-fly-operation genom att ansluta flera linjer och sedan köra linjen. ringer eval.
Ändå kommer Mozillas ställning ner på det faktum att de flesta skadliga tilläggsförfattare är lata och inte kommer att tillgripa liknande tekniker för att dölja skadlig aktivitet.
Möjliga lösningar?
Som en lösning för att förnya åtkomst till tillägg för Linux-användare, dessa kan inaktivera verifiering av digital signatur ställa in variabeln "Xpinstall.signatures.required"I om: config en «falsk".
Den här metoden för stabila och betaversioner fungerar bara på Linux och Android, till Windows och macOS, sådan manipulation det är bara möjligt i Firefox nattliga versioner och i versionen för utvecklare (Developer Edition).
Alternativt, du kan också ändra värdet på systemklockan en stund innan certifikatet går ut, sedan kommer alternativet att installera plugins från AMO-katalogen att returneras, men den redan inställda bortkopplingstaggen tas inte bort.
Rapporter om spårning av Mozilla-rapporter
Under den tidsperiod som problemet genererades meddelade Mozilla-utvecklarna att en av de många testerna började, där det kan vara en möjlig lösning som, om den bekräftas framgångsrikt, snart kommer att kommuniceras till användarna (ett beslut att ansöka den föreslagna lösningen har ännu inte gjorts).
Generering av digital signatur för nya tillägg inaktiveras tills korrigeringen tillämpas.
Kl. 13:50 (MSK) började distributionen av lösningen på användarsidan som returnerar de inaktiverade pluginsna. Lösningen laddas ned automatiskt via uppdateringsleveranssystemet och tillämpas inom några timmar.
För att påskynda leveransen av plåstret är det också utformat som en "undersökning" utförd bland användare för att aktivera detta, användaren måste gå till avsnittet "Firefox-inställningar -> Sekretess och säkerhet -> Låt Firefox installera och köra studier "(" Firefox-inställningar -> Sekretess och säkerhet -> Tillåt Firefox att installera och köra studier ").
Denna lösning fungerade för mig direkt. Plåstret måste laddas ner med en annan webbläsare. Sedan dras det till Firefox-tilläggsfönstret och problemet är löst.
https://www.youtube.com/watch?v=wJqiUb9WriM