Экономика стран

К сожалению, большинство людей, которые будут ими затронуты почти весь мир, не будут иметь никакого влияния на результат. Вести Экономика Дайджест иностранной прессы за 14 августа.
Вести Экономика Греции снова придется списывать долги Греция не сможет самостоятельно расплатиться по долгам, и понадобится новая реструктуризация долгов, чтобы спасти страну от банкротства.

планета | Mozilla Расія

Кампанія Mozilla папярэдзіла аб узнікненні масавых праблем з дапаўненнямі да Firefox. Ва ўсіх карыстальнікаў браўзэра дапаўненні апынуліся заблакаванымі з-за заканчэння часу жыцця прамежкавага сертыфіката, які ўжываецца ў ланцужку фарміравання лічбавых подпісаў. Акрамя таго, адзначаецца немагчымасць ўстаноўкі новых дапаўненняў з афіцыйнага каталога AMO (Addons.mozilla.org).

Выхад з сітуацыі, якая склалася пакуль не знойдзены , Распрацоўшчыкі Mozilla абдумваюць магчымыя варыянты выпраўлення і пакуль абмежаваліся толькі агульным пацвярджэннем гэтай сітуацыі. Згадваецца толькі, што дапаўненні сталі неактыўныя пасля наступлення 0 гадзін (UTC) 4 траўня. Сертыфікат павінен быў абнавіцца тыдзень таму, але па нейкіх прычынах гэтага не адбылося і дадзены факт застаўся незаўважаным. Зараз праз некалькі хвілін пасля запуску браўзэра выводзіцца папярэджанне аб адключэнні дапаўненняў з-за праблем з лічбавым подпісам і дапаўненні знікаюць з спісу. Праверка лічбавага подпісу ажыццяўляецца раз у суткі ці пасля запуску браўзэра, таму ў даўно запушчаных экземплярах Firefox дапаўненні могуць адключыцца не адразу.

Праверка лічбавага подпісу ажыццяўляецца раз у суткі ці пасля запуску браўзэра, таму ў даўно запушчаных экземплярах Firefox дапаўненні могуць адключыцца не адразу

У якасці абыходнага шляху для аднаўлення доступу да дапаўненням карыстачам Linux можна адключыць праверку лічбавай подпісы праз ўстаноўку ў about: config зменнай "xpinstall.signatures.required" у значэнне "false". Дадзены метад для стабільных і бэта-выпускаў працуе толькі ў Linux і Android, для Windows і macOS падобная маніпуляцыя магчымая толькі ў начных зборках і ў версіі для распрацоўнікаў (Developer Edition). Як варыянт таксама можна змяніць значэнне сістэмных гадзін на час да заканчэння тэрміну дзеяння сертыфіката, тады вернецца магчымасць ўстаноўкі дапаўненняў з каталога AMO, але ўжо ўсталяваная пазнака адключэння не здымаецца.

Нагадаем, што абавязковая праверка дапаўненняў Firefox па лічбавым подпісам была ўкаранёна у красавіку 2016 года. На думку Mozilla праверка па лічбавага подпісу дазваляе блакаваць распаўсюд шкодных і шпионящих за карыстальнікамі дапаўненняў. Некаторыя распрацоўшчыкі дапаўненняў не згодныя з такой пазіцыяй і лічаць, што механізм абавязковай праверкі па лічбавай подпісы толькі стварае складанасці для распрацоўшчыкаў і прыводзіць да павелічэння часу давядзення да карыстальнікаў карэкціруючых выпускаў, ніяк не ўплываючы на ​​бяспеку. Існуе мноства трывіяльных і відавочных прыёмаў для абыходу сістэмы аўтаматызаванай праверкі дапаўненняў, якія дазваляюць непрыкметна ўставіць шкоднасны код, напрыклад, праз фарміраванне аперацыі на ляту шляхам злучэння некалькіх радкоў з наступным выкананнем выніковай радкі выклікам eval. Пазіцыя Mozilla зводзіцца да таго, што большасць аўтараў шкоднасных дапаўненняў гультаяватыя і не будуць звяртацца да падобных тэхнікам ўтойвання шкоднаснай актыўнасці.

Дадатак 1: Распрацоўнікі Mozilla паведамілі аб пачатку тэставання выпраўлення, якое ў выпадку паспяховай праверкі ў хуткім часе будзе даведзена да карыстальнікаў (рашэнне аб ужыванні прапанаванага выпраўлення яшчэ не прынята). Да прымянення выпраўлення фарміраванне лічбавых подпісаў для новых дапаўненняў адключана.

Дадатак 2: У 13:50 (MSK) пачалося распаўсюджванне выпраўлення, на баку карыстальнікаў вяртае ў строй адключыў дапаўненні. Выпраўленне будзе аўтаматычна загружана і ўжыта на працягу некалькіх гадзін. Для Firefox ESR і Firefox для Android выпраўленне пакуль ня сфармавана . Таксама могуць быць праблемы з дастаўкай выпраўленні ў зборкі Firefox, устаноўленыя з пакетаў ў дыстрыбутывах.

Для паскарэння дастаўкі выпраўленне аформлена ў выглядзе праводзяцца сярод карыстальнікаў "даследаванняў" (варта перайсці ў раздзел "Firefox Preferences -> Privacy & Security -> Allow Firefox to install and run studies" і пераканацца, што падтрымка даследаванняў ўключаная, а таксама ў "about: studies "праверыць, што актыўна даследаванне hotfix-update-xpi-signing-intermediate-bug-1548973. Пасля ўжывання выпраўлення падтрымку даследаванняў можна зноў адключыць. У далейшым плануецца падрыхтаваць і звычайнае абнаўленне, якое распаўсюджваецца праз штатную сістэму дастаўкі абнаўленняў.

Дадатак 3: Выпраўленне з абноўленым сертыфікатам можна ўсталяваць ўручную , Для гэтага варта загрузіць XPI і ўсталяваць яго з лакальнага файла (клікнуць на шасцярэньку ў верхняй правай частцы мэнэджара дапаўненняў і выбраць "Install Add-on from File ...").

Дадатак 4: Праблема таксама адбілася на карыстачах Tor Browser, у якіх адключылася якое пастаўляецца ў камплекце дадатак NoScript, падпісанае лічбавым подпісам Mozilla. Для аднаўлення працы NoScript распрацоўшчыкі Tor рэкамендавалі часова ўсталяваць наладу xpinstall.signatures.required = false ў about: config да таго як будзе дастаўлена выпраўленне.

Дадатак 5: Для карыстальнікаў Firefox 56.0.2 і больш старых выпускаў, не ўключаюць normandy (Кампанент для падтрымкі даследаванняў, правядзення апытання і пазапланавай актывацыі новых магчымасцяў), на Reddit.com прапанавана вырашэнне праблемы шляхам здабывання сертыфіката з названага вышэй выпраўлення . Пасля здабывання сертыфіката, яго варта запісаць у pem-файл і імпартаваць праз дыялог "Options / Privacy & Security / Certifcates / View Certifcates / Authorities / Import";

Дадатак 6: Апублікаваныя паўнавартасныя карэкціруючыя выпускі Firefox 66.0.4 і 60.6.2 ESR , У якіх прапанавана выпраўленне для замены пратэрмінаванага сертыфіката і аднаўлення адключаных дапаўненняў. Тым не менш, адзначаецца наяўнасць некалькіх нявырашаных пабочных эфектаў:

  • Некаторыя дапаўненні, напрыклад Epubreader, не аднаўляюцца у about: addons пасля абнаўленні сертыфіката або застаюцца ў стане непадтрымоўваных (unsupported). Праблема тычыцца дапаўненняў без ідэнтыфікатара ў файле manifest.json, якія выдаляліся пры памылцы праверкі лічбавай подпісы. У гэтым выпадку рэкамендавана пераўсталяваць дадатак (дадзеныя адновяцца, бо яны застаюцца ў каталогу з профілем);
  • назіраецца страта дадзеных і налад у дапаўненнях, якія выкарыстоўваюць функцыянальнасць кантэкстных кантэйнераў (Containers), напрыклад, у дадатках Multi-Account Containers і Facebook Container. карыстальнікам рэкамендавана з нуля пераналадзіць дапаўненні ў about: addons;
  • не аднаўляюцца тэмы афармлення. карыстальнікам рэкамендавана паўторна ўсталяваць іх з addons.mozilla.org ;
  • скідаюцца у значэнні па змаўчанні змененыя дапаўненнямі налады хатняй старонкі і пошукавых рухавічкоў. Карыстачу патрабуецца зноўку наладзіць хатнюю старонку і пошукавы рухавічок.

крыніца: http://www.opennet.ru/opennews/art.shtml?num=50623

Shtml?
Навигация сайта
Реклама
Панель управления
Регистрация
Забыли пароль ?
Календарь новостей
Популярные новости
Информация
Экономика стран www.mp3area.ru © 2005-2016
При копировании материала, ссылка на сайт обязательна.