geçenlerde Mozilla, eklentilerle ilgili büyük sorunlar konusunda uyardığı bir açıklama yaptı Firefox için. Birkaç saat içinde, birçok kullanıcı tarayıcı eklentilerinin engellendiğini algılamaya başladı.
Bunun nedeni ise Mozilla'nın açıklamasında açıkladığı gibi dijital imza oluşturmak için kullanılan sertifikanın süresinin dolması üzerine. Ek olarak, resmi AMO kataloğundan yeni eklentiler kurmanın imkansızlığı (addons.mozilla.org).
Ortaya çıkan büyük sorunla karşı karşıya kalan Mozilla geliştiricileri olası çözümleri düşünerek çalışmaya başladıŞimdiye kadar, durumun genel teyidi ile sınırlı kaldı.
Sadece bahsediliyor Eklentiler, 0 Mayıs'ta 4 saatin (UTC) başlamasından sonra devre dışı kaldı. Sertifikanın bir hafta önce güncellenmesi gerekiyordu, ancak nedense bu olmadı ve bu gerçek fark edilmedi.
Şimdi, tarayıcı başladıktan birkaç dakika sonra, eklentilerin devre dışı bırakılmasıyla ilgili bir uyarı görüntüleniyor dijital imza sorunları ve eklentiler listeden kaybolduğu için.
Dijital imzalar günde bir kez veya tarayıcı başladıktan sonra doğrulanır, bu nedenle eklentiler uzun ömürlü Firefox örneklerinde hemen devre dışı bırakılamaz.
Mozilla sertifikası neden gereklidir?
Bütün bu problem ortaya çıktı çünkü zorunlu eklenti doğrulaması Dijital imzalar kullanan Firefox Nisan 2016'da tanıtıldı.
Mozilla'ya göre, kontrol elektronik imza kötü amaçlı eklentilerin ve casus yazılımların dağıtımını engellemenize olanak tanır.
Bazı eklenti geliştiricileri bu görüşe katılmıyor ve zorunlu dijital imza doğrulama mekanizmasının yalnızca geliştiriciler için zorluklar yarattığına ve güvenliği etkilemeden kullanıcılara düzeltici sürümlerin iletişim süresinde bir artışa yol açtığına inanıyor.
Kötü amaçlı kod enjekte eden kötü niyetli bir kişiyi sorunsuz bir şekilde yerleştirmenize olanak tanıyan otomatik eklenti kontrol sistemini atlamak için birçok önemsiz ve bariz teknik vardır, örneğin birden fazla hattı bağlayarak ve ardından hattı çalıştırarak anında bir işlem gerçekleştirerek. eval aranıyor.
Yine de Mozilla'nın konumu, çoğu kötü niyetli eklenti yazarının tembel olduğu ve kötü niyetli etkinlikleri gizlemek için benzer tekniklere başvurmayacağı gerçeğine dayanıyor.
Muhtemel çözümler?
İçin eklentilere erişimi yenilemek için geçici bir çözüm olarak Linux kullanıcılarıBunlar dijital imza doğrulamayı devre dışı bırakabilir değişkeni ayarlamak "Xpinstall.signatures.required"In hakkında: config a "yanlış".
Kararlı ve beta sürümler için bu yöntem yalnızca Linux ve Android'de çalışır, paragraf Windows ve macOS, böyle bir manipülasyon sadece firefox gece versiyonlarında mümkündür ve geliştiriciler için sürümde (Geliştirici Sürümü).
Alternatif olarak, ayrıca sertifikanın süresi dolmadan önce sistem saatinin değerini bir süre değiştirebilirsiniz, daha sonra AMO kataloğundan eklenti yükleme seçeneği döndürülecek, ancak önceden ayarlanmış bağlantı kesme etiketi kaldırılmayacaktır.
Mozilla Rapor İzleme Raporları
Sorunun ortaya çıktığı süre boyunca, Mozilla geliştiricileri birçok testten birinin başladığını duyurdu; bu testte, başarılı bir şekilde doğrulanırsa yakında kullanıcılara iletilecek olası bir çözüm olabilir (bir uygulama kararı) önerilen çözüm henüz yapılmadı).
Yeni eklentiler için dijital imza oluşturma, düzeltme uygulanana kadar devre dışı bırakılır.
13: 50'de (MSK), çözümün dağıtımı, devre dışı bırakılan eklentileri döndüren kullanıcı tarafında başladı. Çözüm, güncelleme dağıtım sistemi aracılığıyla otomatik olarak indirilecek ve birkaç saat içinde uygulanacaktır.
Yamanın dağıtımını hızlandırmak için, aynı zamanda kullanıcılar arasında bunu etkinleştirmek için yapılan bir "araştırma" olarak da tasarlanmıştır, kullanıcının "Firefox Tercihleri -> Gizlilik ve güvenlik -> Firefox'un kurmasına ve çalıştırmasına izin ver" bölümüne gitmesi gerekir. çalışmalar ”(" Firefox Tercihleri -> Gizlilik ve Güvenlik -> Firefox'un çalışmaları kurmasına ve çalıştırmasına izin ver ").
Bu çözüm benim için hemen çalıştı. Yama başka bir tarayıcıyla indirilmelidir. Ardından Firefox eklentiler penceresine sürüklenir ve sorun çözülür.
https://www.youtube.com/watch?v=wJqiUb9WriM