Останнім часом Mozilla зробила заяву, в якій попередила про величезні проблеми з доповненнями для Firefox. Ну, за кілька годин багато користувачів почали розуміти, що додаткові компоненти браузера заблоковані.
Це відбувається тому як пояснює Mozilla у своїй заяві після закінчення терміну дії сертифіката, що використовується для генерації цифрових підписів. Крім того, неможливість встановлення нових доповнень з офіційного каталогу AMO (addons.mozilla.org).
Зіткнувшись з великою проблемою, яка виникла, Розробники Mozilla почали працювати над розглядом можливих рішеньі до цього часу обмежувалися загальним підтвердженням ситуації.
Про це лише згадується Плагіни стали неактивними після початку 0 годин (UTC) 4 травня. Сертифікат мав бути оновлений тиждень тому, але чомусь цього не сталося, і цей факт залишився непоміченим.
Тепер, через кілька хвилин після запуску браузера, відображається попередження про вимкнення плагінів через проблеми з цифровим підписом та доповнення зникають зі списку.
Цифрові підписи перевіряються один раз на день або після запуску браузера, тому надбудови не можна негайно вимикати у довготривалих екземплярах Firefox.
Навіщо потрібен сертифікат Mozilla?
Вся ця проблема виникла тому, що обов'язкова перевірка плагіна Firefox за допомогою цифрових підписів був введений у квітні 2016 року.
За словами Mozilla, перевірка цифровий підпис дозволяє заблокувати розповсюдження шкідливих додатків та шпигунського програмного забезпечення.
Деякі розробники плагінів не погоджуються з такою позицією і вважають, що обов’язковий механізм перевірки цифрового підпису лише створює труднощі для розробників та призводить до збільшення часу спілкування коригуючих версій з користувачами, не впливаючи на безпеку.
Існує безліч тривіальних і очевидних методів обходу автоматизованої системи перевірки плагінів, які дозволяють без проблем вставляти зловмисника, що вводить шкідливий код, наприклад, виконуючи оперативну операцію, підключаючи кілька рядків, а потім виконуючи рядок. покликання eval.
Проте позиція Mozilla зводиться до того, що більшість зловмисних авторів надбудови ледачі і не вдаватимуться до подібних методів, щоб приховати шкідливу діяльність.
Можливі рішення?
Як обхідний шлях для поновлення доступу до доповнень для Користувачі Linux, ці може відключити перевірку цифрового підпису встановлення змінної "Потрібен Xpinstall.signatures."У about: конфігурація a «false".
Цей метод для стабільних та бета-версій працює лише на Linux та Android, пункт Windows та macOS, така маніпуляція це можливо лише у нічних версіях firefox та у версії для розробників (Developer Edition).
Крім того, Ви також можете змінити значення системного годинника на час до закінчення терміну дії сертифіката, тоді опція встановлення плагінів з каталогу AMO буде повернута, але вже встановлений тег відключення не буде видалений.
Звіти про відстеження звітів Mozilla
Протягом періоду, протягом якого проблема була сформована, розробники Mozilla оголосили про початок одного з багатьох тестів, в якому це може бути можливим рішенням, яке, якщо буде успішно перевірено, незабаром буде повідомлено користувачам (рішення подати заявку запропоноване рішення ще не прийнято).
Генерація цифрового підпису для нових надбудов вимкнена, доки не буде застосовано виправлення.
О 13:50 (MSK) розпочався розповсюдження рішення на стороні користувача, яка повертає відключені плагіни. Рішення буде автоматично завантажено через систему доставки оновлення та застосовано протягом декількох годин.
Щоб пришвидшити доставку виправлення, він також розроблений як "дослідження", проведене серед користувачів для його активації; користувач повинен перейти до розділу "Налаштування Firefox -> Конфіденційність та безпека -> Дозволити Firefox встановлювати та запускати дослідження »(« Налаштування Firefox -> Конфіденційність та безпека -> Дозволити Firefox встановлювати та запускати дослідження »).
Це рішення спрацювало для мене відразу. Патч потрібно завантажувати за допомогою іншого браузера. Потім він перетягується до вікна доповнень Firefox і проблема вирішується.
https://www.youtube.com/watch?v=wJqiUb9WriM