Mozilla Company ostrzegany o pojawieniu się masy problemów z dodatkami do Firefoksa. Wszyscy użytkownicy przeglądarki dodatków zostali zablokowani z powodu wygaśnięcia certyfikatu pośredniego używanego w łańcuchu generowania podpisów cyfrowych. Ponadto odnotowano niemożność zainstalowania nowych dodatków z oficjalnego katalogu. Amo (addons.mozilla.org).
Wyjdź z obecnej sytuacji nie znaleziono , Deweloperzy Mozilli rozważają możliwe poprawki i jak dotąd ograniczyli się tylko do ogólnego potwierdzenia sytuacji. Wspomniano tylko, że dodatki stały się nieaktywne po upływie 0 godzin (UTC) 4 maja. Certyfikat powinien zostać zaktualizowany tydzień temu, ale z jakiegoś powodu tak się nie stało i fakt ten nie został zauważony. Kilka minut po uruchomieniu przeglądarki wyświetlane jest ostrzeżenie o wyłączeniu dodatków z powodu problemów z podpisem cyfrowym, a dodatki znikają z listy. Podpisy cyfrowe są sprawdzane raz dziennie lub po uruchomieniu przeglądarki, więc dodatki mogą nie zostać natychmiast wyłączone w długo działających wystąpieniach Firefoksa.
W celu obejścia problemu odnowienia dostępu do dodatków dla użytkowników systemu Linux można wyłączyć weryfikację podpisu cyfrowego, ustawiając zmienną „xpinstall.signatures.required” w pliku about: config na „false”. Ta metoda stabilnych i beta wersji działa tylko na Linuksie i Androida, na Windows i MacOS, taka manipulacja jest możliwa tylko w nocnych wersjach iw wersji dla programistów (Developer Edition). Alternatywnie można również zmienić wartość zegara systemowego na czas przed wygaśnięciem certyfikatu, a następnie zostanie zwrócona opcja zainstalowania dodatków z katalogu AMO, ale już ustawiona etykieta rozłączenia nie zostanie usunięta.
Przypomnijmy, że obowiązkowa weryfikacja dodatków do Firefoksa przy użyciu podpisów cyfrowych była wprowadzone w kwietniu 2016 r. Według Mozilli sprawdzenie podpisu cyfrowego pozwala zablokować dystrybucję złośliwych i spyware dodatków. Niektórzy deweloperzy dodatków nie zgadzam się uważają, że obowiązkowy mechanizm weryfikacji podpisów cyfrowych stwarza jedynie trudności dla programistów i prowadzi do zwiększenia czasu wprowadzania problemów do użytkowników bez wpływu na bezpieczeństwo. Jest wiele trywialnych i oczywistych przyjęcia ominąć system automatycznej weryfikacji dodatków, które umożliwiają bezproblemowe wstawienie złośliwego kodu, na przykład, tworząc operację w locie, łącząc kilka linii, a następnie wykonując wynikową linię, wywołując eval. Pozycja Mozilli schodzi do faktu, że większość autorów złośliwych dodatków jest leniwa i nie będzie uciekać się do podobnych technik, aby ukryć szkodliwe działania.
Dodatek 1: Deweloperzy Mozilli zgłoszone o rozpoczęciu testowania poprawki, która, jeśli się powiedzie, zostanie wkrótce przekazana użytkownikom (decyzja o zastosowaniu proponowanej poprawki nie została jeszcze podjęta). Generowanie podpisu cyfrowego dla nowych dodatków jest wyłączone do momentu zastosowania poprawki.
Suplement 2: O 13:50 (MSK) zaczął rozprzestrzeniać się poprawki po stronie użytkowników zwracające odłączone dodatki. Poprawka zostanie automatycznie pobrana i zastosowana w ciągu kilku godzin. Dla Firefoksa ESR i Firefox dla Androida, poprawki na razie. nie uformowany . Mogą również wystąpić problemy z dostarczeniem poprawki do zestawów Firefox zainstalowanych z pakietów w dystrybucjach.
Aby przyspieszyć dostawę, poprawka jest wydawana w formie „badań” wśród użytkowników (przejdź do „Preferencje Firefoksa -> Prywatność i bezpieczeństwo -> Pozwól Firefoksowi zainstalować i uruchomić badania” i upewnij się, że wsparcie badawcze jest włączone, a także w „o: badania „sprawdzają, czy aktywne jest badanie hotfix-update-xpi-signing-intermediate-bug-1548973. Po zastosowaniu poprawki wsparcie badawcze można ponownie wyłączyć. W przyszłości planujemy przygotować regularną aktualizację rozpowszechnianą za pośrednictwem standardowego systemu dostarczania aktualizacji.
Dodatek 3: Można zainstalować poprawkę ze zaktualizowanym certyfikatem ręcznie , do tego powinieneś pobrać Xpi i zainstaluj go z lokalnego pliku (kliknij na sprzęt w górnej prawej części menedżera dodatków i wybierz „Zainstaluj dodatek z pliku ...”).
Dodatek 4: Problem dotyczył również użytkowników przeglądarki Tor, którzy wyłączyli dostarczony dodatek NoScript, który jest podpisany cyfrowo z Mozillą. Do wznowienia twórców NoScript Tor zalecane tymczasowo ustaw wartość xpinstall.signatures.required = false w about: config przed dostarczeniem poprawki.
Suplement 5: Dla użytkowników Firefox 56.0.2 i starszych wersji, które nie zawierają normandy (komponent wspierający badania, ankiety i nieplanowaną aktywację nowych funkcji) na Reddit.com zasugerowano Rozwiązanie problemu poprzez wyodrębnienie certyfikatu z powyższego poprawki . Po wyodrębnieniu certyfikatu należy go zapisać w pliku pem i zaimportować za pomocą okna dialogowego „Opcje / Prywatność i bezpieczeństwo / Certyfikaty / Wyświetl certyfikaty / Uprawnienia / Import”;
Dodatek 6: Opublikowano pełne problemy naprawcze. Firefox 66.0.4 i 60.6.2 ESR który proponuje poprawkę, aby zastąpić wygasły certyfikat i przywrócić wyłączone dodatki. Istnieje jednak kilka nierozwiązanych skutków ubocznych:
- Niektóre dodatki, takie jak Epubreader, nie przywrócone in about: addons po zaktualizowaniu certyfikatu lub pozostaniu w nieobsługiwanym stanie. Problem dotyczy dodatków bez identyfikatora w pliku manifest.json, które zostały usunięte podczas błędu weryfikacji podpisu cyfrowego. W tym przypadku zalecane zainstaluj ponownie dodatek (dane zostaną przywrócone, ponieważ pozostają w katalogu z profilem);
- Obserwowane utrata danych i ustawień w dodatkach korzystających z funkcjonalności kontenery kontekstowe (Kontenery), na przykład, w kontenerach z wieloma kontami i kontenerze na Facebooku. Użytkownicy zalecane rekonfiguruj dodatki z: scratch od podstaw;
- Nie przywrócono tematy. Użytkownicy zalecane zainstaluj je ponownie z addons.mozilla.org ;
- Zresetuj domyślne ustawienia strony głównej i wyszukiwarek zmienione przez dodatki. Użytkownik jest ponownie potrzebny skonfigurować strona główna i wyszukiwarka.
Źródło: http://www.opennet.ru/opennews/art.shtml?num=50623
Shtml?