The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект Mozilla продлил возможность работы с неподписанными дополнениями в Firefox

23.01.2016 09:23

Представители Mozilla объявили о внесении изменений в план по переходу Firefox на использование дополнений, подписанных цифровой подписью. Изначально в выпуске Firefox 44, намеченном на 26 января, ожидалось удаление опции, позволяющей отключить введённые в Firefox 43 ограничения по работе только с подписанными дополнениями. Полный запрет неподписанных дополнений решено перенести на 19 апреля, т.е. опция "xpinstall.signatures.required" будет удалена из about:config в Firefox 46.

Решение обусловлено желанием дать разработчикам дополнений ещё немного времени на внедрение цифровых подписей и намерением добавить в Firefox 45 режим временной установки дополнений, позволяющий установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение автоматически удалено).

В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки. Таким образом, в обозримом будущем опция "xpinstall.signatures.required" будет присутствовать в ночных сборках, выпусках для разработчиков и ESR-редакциях. Также подтверждено формирование обезличенных сборок релизов и бета-выпусков Firefox, которые будут распространяться параллельно с официальными версиями и не требовать обязательного использования подписанных дополнений. Подобные сборки будут формироваться начиная с выпуска Firefox 46.

Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

  1. Главная ссылка к новости (https://blog.mozilla.org/addon...)
  2. OpenNews: Около 40% пользователей Firefox не используют дополнения
  3. OpenNews: В Firefox 45 появится поддержка временной установки неподписанных дополнений
  4. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
  5. OpenNews: Mozilla отложила блокирование Firefox-дополнений без цифровой подписи
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43722-mozilla
Ключевые слова: mozilla, firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:29, 23/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Сначала сделать плохо, потом по чуть-чуть откатывать.
     
     
  • 2.8, boooo (?), 14:06, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    По опыту работы в техподдержке, могу заверить, что лучший способ сделать клиенту хорошо это:
    1. Испортить что-то (убрать фичу, например);
    2. Вернуть все назад;
    3. Клиент доволен!
     
     
  • 3.9, Аноним (-), 14:15, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    убунтустайл
    Мы думаем над переходом
    Мы переходим в ближайшем будущем
    Мы пока отложим переход
    Мы ничего никуда не переводим в итоге
     

  • 1.2, Аноним (-), 09:30, 23/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да ладно? Mozilla все-таки еще хочет, чтобы ее браузером пользовались?
     
     
  • 2.4, grayich (ok), 11:47, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Не факт, всё что они делают в последнее время, указывает на их желание убить фф.
     
     
  • 3.10, Аэропорт (?), 15:04, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    например, что? многопроцессность? возможность быстрого порта хромодополнений? повышение безопасности браузера?
    от мозиллы последнее время ожидаются лишь хорошие измения, пусть и глобальные.
     
     
  • 4.11, Анонисимусис (?), 15:23, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Изменения эти пришли (и еще даже не пришли, а только ожидаются) слишком поздно, когда они значительно потеряли рынок. Нужно было раньше думать и внедрять изменения, а они то Pocket добавили, то Hello, которое не особо нужно. Еще они сделали Firefox OS, который нафиг никому не сдался, сделали и закрыли Персону, сделали и как-то где-то развивают Accounts и Sync (которое тоже работает с нареканиями). Нет, положительные вещи тоже были, но они теряются на фоне фейлов.
     
  • 4.12, Crazy Alex (ok), 15:27, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    То есть переход на пожирание памяти как хром, попытка угробить большинство существующих дополнений и побудить разработчиков не пользоваться мозилловскими API для них, намного более мощными, чем хромовские? Да, именно это.
     
  • 4.14, Lain_13_too_lazy_to_login (?), 16:13, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С теми изменениями, которые они обещают, Фокс, конечно, наконец станет быстрым браузером (у меня он заметно тормознее Хрома работает сейчас), вот только ненужным так-как один Хром у нас уже есть, а именно ограничения по типу Хромовских нам и светят если они выпилят XUL. А они это и собираются сделать. В сравнении с этим невозможность установки неподписанных дополнений или пачка сломанных из-за e10s это сущие пустяки.
     
     
  • 5.24, Тот_Самый_Анонимус (?), 09:46, 24/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >если они выпилят XUL

    Хульню надо выпиливать, как основной источник тормозов. Пусть будет в виде плагина для тех, кому нужно, пусть даже в официальной поставке и включено по умолчанию.

     
     
  • 6.28, Аноним (-), 21:36, 24/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А что от лисы останется? Зачем надо второй хром, хромой и отстающий?
     
     
  • 7.37, Тот_Самый_Анонимус (?), 16:35, 26/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А что от лисы останется? Зачем надо второй хром, хромой и отстающий?

    Геко же. Движок без ХУЛьни.

     
  • 4.20, Аноним (-), 22:08, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Многопроцессность - а среднестатистическому пользователю оно видно? Хромодополнения - навскидку и не вспомню сколько-нибудь полезное дополнение для хрома, аналогов которому не было бы в Firefox, зато там есть тонны мусора - дополнения, представляющие собой закладки для сайтов и т. д. и т. п. Напротив, именно для Firefox существует множество уникальных и реально полезных расширений, многие из которых со всеми этими изменениями будут похерены. Безопасность - не уверен, что сейчас хромой безопаснее лисы.
    Есть ощущение, что в итоге получится очередной хромоклон, который не будет нужен никому, ибо ниша браузера с тремя кнопками для хомяков уже занята, а ничего принципиально нового предложено не будет.
     
     
  • 5.21, Аноним (-), 23:36, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Безопасность - не уверен, что сейчас хромой безопаснее лисы.

    При всей моей нелюбви в хрому должен признать, что судя по Pwn2Own и прочим новостям/конкурсам, он самый безопасный. В случаях, когда другие браузеры пропустили эксплоит до системы, в хроме он часто всё ещё сидит в песочнице и не опасен. Бывают конечно случаи обхода его песочницы, но ситуация всё равно лучше.

     
  • 4.27, Аноним (-), 21:31, 24/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > от мозиллы последнее время ожидаются лишь хорошие измения, пусть и глобальные.

    А тебе не проще будет хром взять? Там все это есть. И дополнения бесполезные, потому что апи ничего не позволяет.

     
  • 4.39, Нечестивый (ok), 10:41, 30/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > повышение безопасности браузера?

    Только не забывай что когда пиндоевропеец говорит "безопасность" он имеет в виду безопасность от тебя, а не для тебя.

     

  • 1.5, Аноним (-), 12:04, 23/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Повременили с отключением неподписанных дополнений, потом убрали все дополнения и сказали пользоваться инновациями
     
  • 1.6, Sluggard (ok), 12:44, 23/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ешение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки

    А потом сиди и жди, когда они в очередной раз изменят решение, а вообще везде неподписанные запретят...

     
     
  • 2.7, SENIORMASTERCHIEFDEVELOPER (?), 12:53, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Статистически определят что эту функцию используют 49% пользователей, а значит не нужно.
     

  • 1.13, Аноним (-), 15:45, 23/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто знает, как устанавливать неподписанные дополнения в старых версиях Firefox, где нет опции "xpinstall.signatures.required"?
    Например, большая часть версий Adblock Plus, которые годятся для старых версий Firefox, Firefox устанавливать не желает как "неподписанные".
     
     
  • 2.15, Z (??), 17:07, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    вместо очень уж странного и таки жручего adblock попробуйте ublock
     
     
  • 3.16, Аноним (-), 17:24, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я не понял, как настраивать ublock, но это другой вопрос.
    Меня в принципе интересует: как отключить проверку подписи.
     
     
  • 4.25, Аноним (-), 12:39, 24/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Давай научу. Включаешь 2 птички с дополнительными подписками - все готово.
     
  • 3.22, Аноним (-), 01:07, 24/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    urlfilter
     

  • 1.17, Anonplus (?), 18:35, 23/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В старых версиях, где нет опции "xpinstall.signatures.required", нет и проверки подписей. Установка не удаётся из-за чего-то иного.
     
     
  • 2.18, Anonplus (?), 18:35, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Упс, ошибся веткой, сообщение адресовано анониму выше.
     
  • 2.19, Аноним (-), 22:02, 23/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В старых версиях, где нет опции "xpinstall.signatures.required", нет и проверки подписей.
    > Установка не удаётся из-за чего-то иного.

    Именно из-за этого.
    Я не помню точно, какое сообщение при этом появляется, но суть в подписи.

     
     
  • 3.31, Anonplus (?), 05:29, 25/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, ты ставишь более-менее свежий адблок, который уже подписан, на старый браузер, который про подписи не знает ничего? Если так, то возможно, что конфликт из-за этого и нужно брать дополнение постарее, когда его еще не подписывали. Или собирать, не подписывая, самому из сорцов, если у адблока они открыты.

    Что касается той опции, то она появилась именно одновременно с началом подписывания первых дополнений.

     
     
  • 4.35, Аноним (-), 13:18, 25/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В последний раз при попытке в Palemoon 3.6.2 добавить adblock_plus-1.3.9 (работает с Firefox 3.5 и выше) появилось сообщение:

    "Pale Moon could not install the file at
    https://addons.cdn.mozilla.net/user-media/addons/1865/adblock_plus-1.3.9-fx+tb+sm+fn.xpi?filehash=sha256%3Acfd6bc966d0ec3f56a2898d9065972510c466296842ee2af480c1c2a6e677828
    because: Signing could not be verified.
    -260".

    adblock_plus-1.3.2 установился.

    Еще я не смог установить adblock_plus-1.3... в Iceweasel 3.5 (в Debian 6 Squeeze это штатный браузер).

    Насчет собственно Firefox не помню, но вроде тоже было что-то такое.

     

  • 1.23, Аноним (-), 01:52, 24/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как женщины капризничают, то так хотят, то передумывают
     
     
  • 2.29, Аноним (-), 23:03, 24/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Как женщины капризничают, то так хотят, то передумывают

    Голова у мозиллы болит.

     

  • 1.30, freehck (ok), 03:11, 25/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

    Господа, это крышка, клиника, идиотизм.

    По воле случая в моём круге общения есть некоторое количество геймеров, с которыми я хорошо знаком. Так вот, среди них выделяется парочка "гриферов" -- тех, кто сознательно вредит другим игрокам, получая от этого удовольствие. Для них это спорт, искусство, радость. Так вот, они тратят не часы, и даже не дни, чтобы найти дисбаланс в интересующих их играх. Готов поспорить, что они знают правила этих игр даже лучше собственно разработчиков этих игр.

    И что характерно, другие игроки думают, что делать то, что делают эти ребята -- просто. Однако это не так. Я точно знаю, что они планируют свои диверсии заранее долгое время. Обсуждают тактики нападения, стратегии выживания, оттачивают навыки владения интерфейсом.

    Ту же самую ошибку совершает и Mozilla. Нельзя, НЕЛЬЗЯ думать, что они ленивы. Они не ленивы. Они МАНЬЯКИ, мать вашу за ногу. (надеюсь, это не слишком грубо для opennet).

    ---

    Ленивый автор, он как ленивый грифер-подражатель, который увидел непосредственно момент совершения пакости, и идёт её повторить. Он не знает ничего о том, какая работа была проведена до, и не знает, что именно делать потом. Он не видит возможностей. Защищаться от таких авторов нет смысла: они всё равно ничего особо страшного не сделают.

    Вот если от кого и надо защищаться, так это от тех, от кого данные система защиты не спасает. От тех, кто не окажется "ленив". От тех, кому так *хочется* нагнуть пользователей, что для него это вопрос *чести*.

    Я точно знаю, такие люди есть. Боже упаси их недооценивать.

     
     
  • 2.32, Anonplus (?), 05:41, 25/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Путаешь людей, которые вредят для того, чтобы вредить (как старуха Шапокляк), с людьми, которые просто не брезгуют заработать любым способом.

    Как гласит народная мудрость - нет смысла бежать быстрее медведя, достаточно бежать быстрее самого медленного товарища. Так и тут - 100% безопасности достичь невозможно. Но усилив безопасность мы получим снижение числа инцидентов, потому что часть вирусописателей пойдет окучивать юзеров менее безопасных популярных браузеров. Ибо главная их цель - бабло, а не "гадить из принципа"

     
     
  • 3.33, freehck (ok), 09:07, 25/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Путаешь людей, которые вредят для того, чтобы вредить (как старуха Шапокляк), с
    > людьми, которые просто не брезгуют заработать любым способом.

    Я думаю, что Остап Бендер был бы более уместной аналогией, нежели Шапокляк. ;)

    > Как гласит народная мудрость - нет смысла бежать быстрее медведя, достаточно бежать
    > быстрее самого медленного товарища. Так и тут - 100% безопасности достичь
    > невозможно. Но усилив безопасность мы получим снижение числа инцидентов, потому что
    > часть вирусописателей пойдет окучивать юзеров менее безопасных популярных браузеров.
    > Ибо главная их цель - бабло, а не "гадить из принципа"

    Народ как всегда дурак, а Вы, прхоже, не чувствуете разницы между шестёркой-домушником и профессиональным вором. Шестёрка и так где-нибудь да проворуется, и ещё разочек отсидит. А вот Вора поймать -- вот это действительно проблема.

    И что мозилловцы делают? От мелкого ворья вводят систему автопроверок. А для Воров вводят обязательную сертификацию дополнений, увеличивающую время доставки обновлений до пользователей.

     
  • 2.34, iPony (?), 09:51, 25/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня знакомый писал зловредную нагрузку к браузерам. В основном к IE.
    Чисто бызнес и деньги - ничего личного.
    И не надо тут рассказывать про идейных, это всё давно умерло в 90-ых.
     

  • 1.36, Sumanai (?), 17:03, 25/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки.

    Слава Богам, хотя бы чем- то можно будет пользоваться. А то я уже думал всё, конец лисе, и сидеть на старой версии, пока веб не отвалится.

     
  • 1.38, Аноним (-), 22:21, 27/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    рубить блокировщики рекламы планируют.
    наукообразно подводя и к благообразном обоснованию про "злоумышленников"(рекламодателей в таковом качестве - не рассматривают, похоже. а напрасно. почти 1/3 малвари - прет через инжекции через "баннерные сети")
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру