Tiện ích bổ sung của Firefox bị tắt do chứng chỉ Mozilla hết hạn

Gần đây Mozilla đã đưa ra một tuyên bố trong đó cảnh báo về các vấn đề lớn với các tiện ích bổ sung cho Firefox. Chà, trong vài giờ, nhiều người dùng bắt đầu nhận thấy rằng các tiện ích bổ sung của trình duyệt đã bị chặn.

Điều này là bởi vì như được giải thích bởi Mozilla trong tuyên bố của mình khi chứng chỉ được sử dụng để tạo chữ ký điện tử hết hạn. Ngoài ra, không thể cài đặt các tiện ích bổ sung mới từ danh mục AMO chính thức (addons.mozilla.org).

Đối mặt với vấn đề lớn phát sinh, Các nhà phát triển Mozilla bắt đầu làm việc để xem xét các giải pháps và cho đến nay đã được giới hạn trong xác nhận chung về tình hình.

Nó chỉ được đề cập rằng Các plugin trở nên không hoạt động sau khi bắt đầu từ 0 giờ (UTC) vào ngày 4 tháng XNUMX. Chứng chỉ lẽ ra đã được cập nhật cách đây một tuần, nhưng vì một số lý do mà điều này đã không xảy ra và sự thật này đã không được chú ý.

Bây giờ, một vài phút sau khi trình duyệt khởi động, cảnh báo về việc tắt plugin được hiển thị do sự cố chữ ký số và tiện ích bổ sung biến mất khỏi danh sách.

Chữ ký điện tử được xác minh mỗi ngày một lần hoặc sau khi trình duyệt khởi động, vì vậy không thể tắt ngay lập tức các tiện ích bổ sung trên các phiên bản Firefox đã tồn tại lâu dài.

Tại sao cần có chứng chỉ Mozilla?

Tất cả vấn đề này nảy sinh bởi vì xác minh trình cắm bắt buộc Firefox sử dụng chữ ký số được giới thiệu vào tháng 2016 năm XNUMX.

Theo Mozilla, một tấm séc chữ ký số cho phép bạn chặn việc phân phối các tiện ích bổ sung và phần mềm gián điệp độc hại.

Một số nhà phát triển plugin không đồng ý với quan điểm này và cho rằng cơ chế xác minh chữ ký số bắt buộc chỉ tạo ra khó khăn cho các nhà phát triển và dẫn đến việc tăng thời gian giao tiếp của các phiên bản sửa chữa đến người dùng mà không ảnh hưởng đến bảo mật.

Có nhiều kỹ thuật đơn giản và rõ ràng để vượt qua hệ thống kiểm tra plugin tự động cho phép bạn chèn một người độc hại vào mã độc hại một cách liền mạch, ví dụ: bằng cách thực hiện một thao tác nhanh bằng cách kết nối nhiều đường và sau đó thực hiện đường dẫn do gọi eval.

Tuy nhiên, lập trường của Mozilla đi đến thực tế là hầu hết các tác giả của tiện ích bổ sung độc hại đều lười biếng và sẽ không sử dụng các kỹ thuật tương tự để che giấu hoạt động độc hại.

Phương pháp khả thi?

Như một giải pháp để gia hạn quyền truy cập vào các tiện ích bổ sung cho Người dùng LinuxNhững có thể tắt xác minh chữ ký số thiết lập biến "Xpinstall.signatures.required"trong về: cấu hình một «sai".

Phương pháp này cho các phiên bản beta và ổn định chỉ hoạt động trên Linux và Android, para Windows và macOS, thao tác như vậy nó chỉ có thể trong các phiên bản hàng đêm của firefox và trong phiên bản dành cho nhà phát triển (Developer Edition).

Ngoài ra, bạn cũng có thể thay đổi giá trị của đồng hồ hệ thống trong một khoảng thời gian trước khi chứng chỉ hết hạn, thì tùy chọn cài đặt plugin từ danh mục AMO sẽ được trả lại, nhưng thẻ ngắt kết nối đã được đặt sẽ không bị xóa.

Báo cáo về Theo dõi Báo cáo Mozilla

Trong khoảng thời gian mà vấn đề được tạo ra, các nhà phát triển Mozilla đã thông báo bắt đầu một trong nhiều thử nghiệm, trong đó đây có thể là một giải pháp khả thi mà nếu được xác minh thành công, sẽ sớm được thông báo cho người dùng (quyết định áp dụng giải pháp đề xuất vẫn chưa được thực hiện).

Tính năng tạo chữ ký số cho phần bổ trợ mới bị vô hiệu hóa cho đến khi áp dụng bản sửa lỗi.

---

Vào lúc 13:50 (MSK), việc phân phối giải pháp bắt đầu, về phía người dùng, trả về các plugin bị vô hiệu hóa. Giải pháp sẽ được tự động tải xuống thông qua hệ thống cung cấp bản cập nhật và được áp dụng trong vòng vài giờ.

---

Để tăng tốc độ cung cấp bản vá, nó cũng được thiết kế như một cuộc "nghiên cứu" được thực hiện giữa những người dùng để kích hoạt điều này, người dùng phải vào phần "Tùy chọn Firefox -> Quyền riêng tư và bảo mật -> Cho phép Firefox cài đặt và chạy nghiên cứu ”(" Tùy chọn Firefox -> Quyền riêng tư & Bảo mật -> Cho phép Firefox cài đặt và chạy các nghiên cứu ").