The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Firefox 45 появится поддержка временной установки неподпис..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от opennews (??) on 25-Дек-15, 11:21 
В Firefox 43 по умолчанию активирован режим обязательной проверки дополнений по цифровой подписи, но оставлена возможность отключения подобной проверки через изменение опции "xpinstall.signatures.required" в about:config. В одном из ближайших выпусков данную опцию планируется (https://wiki.mozilla.org/Addons/Extension_Signing) удалить, что приведёт к невозможности установки в финальных релизах неподписанных дополнений. Для упрощения тестирования дополнений в релизах реализован (https://blog.mozilla.org/addons/2015/12/23/loading-temporary.../) режим временной установки дополнений, который будет включен в состав Firefox 45.


Включение поддержки временной загрузки дополнений осуществляется во вкладке Add-ons на странице "about:debugging". Новая возможность позволит разработчикам установить любое неподписанное дополнение из локального XPI-файла, но данное дополнение будет активно только в рамках текущего сеанса и после первого перезапуска браузера будет автоматически удалено. Временно можно будет загрузить только дополнения, не требующие для своей активации перезапуска браузера. Ранее для тестирования дополнений планировалось выпускать специальные обезличенные отдельные сборки релизов, но, судя по всему, разработчики ограничатся механизмом временной установки дополнений. Для отладки дополнений также предлагается (https://blog.mozilla.org/addons/2015/12/18/signing-firefox-a.../) использовать команду "jpm sign", позволяющую снабдить дополнение цифровой подписью на локальной системе.

<center><img src="https://www.opennet.dev/opennews/pics_base/0_1451030392.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>

Mozilla рассчитывает, что введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. По мнению (https://www.opennet.dev/opennews/art.shtml?num=43398) некоторых разработчиков дополнений механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество  тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится (http://danstillman.com/2015/11/23/firefox-extension-scanning...) к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.


URL: https://blog.mozilla.org/addons/2015/12/23/loading-temporary.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=43585

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Firefox 45 появится поддержка временной установки неподпис..."  +11 +/
Сообщение от Аноним (??) on 25-Дек-15, 11:21 
Никто не мешает зарегистрировать одноразовый аккаунт в Mozilla и командой  "jpm sign" локально подписать вредоносное дополнение,  после чего распространять его как и раньше через левые сайты. Только раньше пользователь видя дополнение на левом сайте мог подозревать, что нет никаких гарантий, а теперь видя, что дополнение подписано он слепо доверится и будет считать, что всё в порядке.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В Firefox 45 появится поддержка временной установки неподпис..."  +6 +/
Сообщение от Аноним (??) on 25-Дек-15, 12:19 
Если вспомнить о том, что народу поддельные гугл хромы закачиваются, вместо настоящих, то ничего не мешает зловредам запускаться через лаунчер, предварительно формирующий каталог с расширениями до запуска.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "В Firefox 45 появится поддержка временной установки неподпис..."  –1 +/
Сообщение от виндотролль (ok) on 25-Дек-15, 15:51 
> Если вспомнить о том, что народу поддельные гугл хромы закачиваются, вместо настоящих,
> то ничего не мешает зловредам запускаться через лаунчер, предварительно формирующий каталог
> с расширениями до запуска.

Думаю, тут много нюансов. Можно требовать наличие аккаунта разработчика на mdn, а подпись привязывать к машине, на которой она генерируется (типа, проверять мак адрес, или еще что-нибудь подобное). Короче, запретить такой сценарий несложно.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "В Firefox 45 появится поддержка временной установки неподпис..."  +1 +/
Сообщение от Аноним (??) on 25-Дек-15, 13:51 
мазиле это индифирентно, они "экосистему строят" - добро пожаловать в стойло, экосистема.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от виндотролль (ok) on 25-Дек-15, 15:48 
мне кажется, что такая подпись будет каким-либо образом привязана к локальной машине
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от Аноним (??) on 25-Дек-15, 11:24 
-Это означает, что я временно могу доехать до дома
https://www.youtube.com/watch?v=uc17veAual8
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Firefox 45 появится поддержка временной установки неподпис..."  +10 +/
Сообщение от Аноним (??) on 25-Дек-15, 11:26 
Блин, сколько их уже просили - если поставили целью скопировать Chrome, то хотя бы сделайте нормальный отладочный режим, как в Chrome, чтобы можно было на свой страх и риск отключать все тупые запреты. Принудительная защита, в условиях, что ни все хотят чтобы их защищали, ни к чему хорошему не приводит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В Firefox 45 появится поддержка временной установки неподпис..."  +2 +/
Сообщение от Аноним (??) on 25-Дек-15, 14:00 
а как тогда пичкать тебя рекламой партнеров и банить адблоки?!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "В Firefox 45 появится поддержка временной установки неподпис..."  +4 +/
Сообщение от аннонним on 25-Дек-15, 14:56 
Мда все как в последнем сезоне соуз парка, реклама обрела человеческий образ, она среди нас.

P.S.  Хотел продолжить камент, но перешол по банеру со скидкой на дилдо

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

28. "В Firefox 45 появится поддержка временной установки неподпис..."  –5 +/
Сообщение от GrammarNarziss on 25-Дек-15, 19:02 
"пичкать тебе рекламу", нерусь!
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

29. "В Firefox 45 появится поддержка временной установки неподпис..."  +4 +/
Сообщение от Аноним (??) on 25-Дек-15, 19:20 
ащет оригинальный вариант был правильнее
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

38. "В Firefox 45 появится поддержка временной установки неподпис..."  +1 +/
Сообщение от anonymous (??) on 27-Дек-15, 02:07 
капчить тебе рекламу
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

27. "В Firefox 45 появится поддержка временной установки неподпис..."  –1 +/
Сообщение от GrammarNarziss on 25-Дек-15, 19:00 
"что не все", позорище
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

40. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от Аноним (??) on 29-Янв-16, 13:57 
> "что не все", позорище

Заглавная буква, точка, нерусь!

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

4. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от anonymous (??) on 25-Дек-15, 11:37 
Вроде собирались делать специальную версию с отключенной проверкой. Неужели забыли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от Michael Shigorin email(ok) on 25-Дек-15, 11:43 
> Вроде собирались делать специальную версию с отключенной проверкой. Неужели забыли?

"Ранее для тестирования дополнений планировалось выпускать специальные обезличенные отдельные сборки релизов, но, судя по всему, разработчики ограничатся механизмом временной установки дополнений"

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "В Firefox 45 появится поддержка временной установки неподпис..."  +1 +/
Сообщение от iPony on 25-Дек-15, 12:25 
А что будет Alt Linux в такой ситуации?
Ведь ущемляется свобода пользователя.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от Аноним (??) on 25-Дек-15, 14:42 
как и федора - удалят огнелиса из репов в пользу вазелина/пальмы
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

39. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от freehck email(ok) on 27-Дек-15, 02:55 
Да в общем-то iceweasel пока никто не отменял.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от Аноним (??) on 25-Дек-15, 16:00 
Мозила испугалась, что все свалят сначала на не брендированную, а потом на какой-нибудь форк, который будет активно пиариться разработчиками расширений.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

31. "В Firefox 45 появится поддержка временной установки неподпис..."  +1 +/
Сообщение от irinat (ok) on 25-Дек-15, 21:54 
В Debian в Iceweasel 43.0.1 добавили исключение для расширений, загружаемых из /usr/share.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "В Firefox 45 появится поддержка временной установки неподпис..."  +2 +/
Сообщение от anonimous on 25-Дек-15, 11:47 
Нет ничего более постоянного, чем временное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В Firefox 45 появится поддержка временной установки неподпис..."  +4 +/
Сообщение от Аноним (??) on 25-Дек-15, 12:29 
> большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам

Mozilla: Мы помогаем побороть лень! ©

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В Firefox 45 появится поддержка временной установки неподпис..."  +1 +/
Сообщение от Аноним (??) on 25-Дек-15, 12:34 
>Ранее для тестирования дополнений планировалось выпускать специальные обезличенные отдельные сборки релизов, но, судя по всему, разработчики ограничатся механизмом временной установки дополнений.

А откуда инфа, что от unbraded выпусков отказались?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от Аноним (??) on 25-Дек-15, 14:08 
> А откуда инфа, что от unbraded выпусков отказались?

непонятен смысл этого мозильского гетто.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "В Firefox 45 появится поддержка временной установки неподпис..."  +1 +/
Сообщение от Аноним (??) on 25-Дек-15, 12:45 
А маркет, маркет-то когда запилють?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В Firefox 45 появится поддержка временной установки неподпис..."  +3 +/
Сообщение от Аноним (??) on 25-Дек-15, 13:54 
Так вот же он: https://marketplace.firefox.com/
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "В Firefox 45 появится поддержка временной установки неподпис..."  –1 +/
Сообщение от Аноним (??) on 25-Дек-15, 14:08 
О, да, что то в последнее время новости от Mozilla одна другой лучше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от Аноним (??) on 25-Дек-15, 14:43 
THERE IS NO ESCAPE
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В Firefox 45 появится поддержка временной установки неподпис..."  +5 +/
Сообщение от Аноним (??) on 25-Дек-15, 14:51 
Кряки будут?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В Firefox 45 появится поддержка временной установки неподпис..."  +3 +/
Сообщение от testt (ok) on 25-Дек-15, 18:15 
>xpinstall.signatures.required в about:config. В одном из ближайших выпусков данную опцию планируется удалить

Зачем? Всех пользователй держат за идитов?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "В Firefox 45 появится поддержка временной установки неподпис..."  –1 +/
Сообщение от prokoudine email(??) on 25-Дек-15, 21:05 
- А можно?
- Нельзя.
- А если очень-очень хочется?
- Разрешаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от Аноним (??) on 26-Дек-15, 00:24 
А кто ты такой, чтобы запрещать?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

37. "В Firefox 45 появится поддержка временной установки неподпис..."  +/
Сообщение от Аноним (??) on 27-Дек-15, 01:27 
хм... печально все это( конец 2015 года, а они все про дополнения( мне интересно что JS(особенно ввиду его огромности в HTML5 API) не может что могут дополнения?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру