Разработчики проекта Mozilla объявили (https://blog.mozilla.org/addons/2016/07/29/extension-signing.../) о начале формирования обезличенных сборок (https://wiki.mozilla.org/Add-ons/Extension_Signing#Unbranded...) Firefox, поставляемых без блокировки работы дополнений, не имеющих цифровой подписи. Сборки доступны только для локали en-US и поставляются без элементов брендинга, т.е. без использования логотипа и имени Firefox.
В релизе Firefox 48, который состоится 2 августа, из настроек about:config будет убрана опция "xpinstall.signatures.required", позволявшая отключить проверку дополнений по цифровой подписи. Таким образом, начиная с Firefox 48 все установленные дополнения должны быть подписаны их создателями и обойти данное ограничение можно только установив представленную выше отдельную обезличенную сборку или воспользовавшись режимом временной установки дополнений, позволяющим установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение будет автоматически удалено).Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится (http://danstillman.com/2015/11/23/firefox-extension-scanning...) к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.
URL: https://blog.mozilla.org/addons/2016/07/29/extension-signing.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=44875
Цирк.
Вам не угодить. Весдь сборки специально сделали для бугуртящих про лицензию на брендинг и подписи в дополнениях. Ну хотели? Ну так пользуйтесь ими. Или вам что нужно, чтобы все эти сборки юзали?
> Вам не угодить.А не надо было ни то, ни другое. К чему это мельтешение. Правильно, цирк. Откидывают коленца, уж не знают, чем зрителей еще привлечь, либо, что бы попасть в новости
> А не надо было ни то, ни другое. К чему это мельтешение.
> Правильно, цирк. Откидывают коленца, уж не знают, чем зрителей еще привлечь,
> либо, что бы попасть в новостиЗрители от них устали. Половина пользователей уже сбежали. Ибо нефиг.
> Весдь сборки специально сделали для бугуртящих про лицензию на брендинг и подписи в дополненияхИ сделали их максимально неюзабельными. Автообновление? Зачем оно в 21 веке, качайте вручную. Русский, французский, китайский? Не слышали, нет таких людей.
Ненависть.
> Вам не угодить. Весдь сборки специально сделали для бугуртящих про лицензию на
> брендинг и подписи в дополнениях. Ну хотели? Ну так пользуйтесь ими.
> Или вам что нужно, чтобы все эти сборки юзали?Спасибо, тут подсказали окончательное решение мозильского вопроса: https://github.com/Eloston/ungoogled-chromium и https://github.com/gcarq/inox-patchset
> позволяющим установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеансаИ зачем надо было городить все эти подписи если по прежнему можно поставитить и выполнить любое не подписанное дополнение?
Да то же самое что и: DNT, X-Frame-Options, запрет на кросдоменные запросы и т.д. Куча геморроя разработчикам, а толку ноль.
Затем, что если человек ставит себе такую сборку, то он сознаёт, что делает и никаких претензий к Mozilla иметь не будет, если подцепит заразу.А те, кто не хочет разбираться, почему у них реклама в браузере и начинает сразу гнать на браузер, продолжат пользоваться Firefox.
А раньше пользователи, когда ставили сторонние расширения, не осознавали это и претензии мозиле предъявляли?
Да
Бред.
Ещё есть всякие говно-программы (а точнее говно-инсталляторы) под винду, которые ставят заодно кучу вирусных расширений в браузеры. Возможно цифровая подпись поможет против этого бороться?
Не надо с этим бороться! Виндузятники должны страдать!
А они не найдут способ отключить? :)
> Затем, что если человек ставит себе такую сборку, то он сознаёт, что
> делает и никаких претензий к Mozilla иметь не будет, если подцепит заразу.Казуалов задрали отвалы расширений, постоянные изменения в интерфейсе, реклама в вкладках и прочие мозильские неожиданности. Дорогая мозилла, вы себя исчерпали! Идите на...! И в .....! Кому надо третьесортную пародию на хром?
> Затем, что если человек ставит себе такую сборку, то он сознаёт...что набор патчиков по типу Inox Browser как-то более перспективно выглядит. Если уж суждено отправляться в гетто - так с музыкой!
>большинство авторов большинство авторов вредоносных дополнений ленивыАга, вот кто-кто а именно авторы "вредоносных дополнений" -- лентяи. Именно лень толкает их к раработке (очевидно на безвозмездной основе) кучи кода. Всё именно так, как нафантазировали мозилловцы в своих эротических снах. Тьфу!
Про ленивость - это не слова разработчиков, а слова блоггера. Это его мнение. А эта статья тоже это не учитывает, пишет что это - мнение разработчиков.
Да. Если бы они не были лентяями, то нашли бы куда более интересный и безвредный способ заработка.
Это если считать, что их волнует безвредность. "Интересный" же - это вообще очень индивидуальное понятие. Взлом как-то никогда "не интересным" не считался, кстати.
> Да. Если бы они не были лентяями, то нашли бы куда более
> интересный и безвредный способ заработка.Тут уже не просто "затраты/отдача" тут ещё есть и третья ось. По вашему мошенники все такие глупые что не могут высокую з.п. получать? Просто они хотят побольше и побыстрее ;)
А слабо им было по умолчанию продолжить распространять версию с возможностью отключения проверки дополнений, а в качестве опции предложить сборки с вырезанной настройкой? Всё равно вся их верификация вредоносных дополнений как слону дробина и обходится влёт.
> А слабо им было по умолчанию оставить уязвимость с опцией в about:config?
> Всё равно вся их верификация вредоносных дополнений как слону дробина и обходится влёт.Ясно.
Ну вообще, возможность секурного сохранения настроек есть.
Так же как хранение паролей, например, в Apple KeyChain, в Gnome Keyring, в KDE Wallet.
Да вот только под вендами такого нет, да и у мозилки поддержка того, что я назвал, весьма посредственная.
> Так же как хранение паролей, например, в Apple KeyChain, в Gnome Keyring,Есть KeePass, зачем остальные извращения?
Потому что это совсем не то.
Ибо должно быть API для использования другими программами - браузеры, IM месседжеры, ssh клиенты и так далее
Ну да, а сами при этом в каждый релиз добавляют новое неотключаемое дополненние, каждое из которых следит за пользователями.
> Ну да, а сами при этом в каждый релиз добавляют новое неотключаемое
> дополненние, каждое из которых следит за пользователями.За что я не люблю опеннет - за то, что тут каждый второй коммент - буллщит. Сгоняй в about:performance и отключи там любое дополнение, даже изкоробочное.
За что я не люблю мозиллу? Каждый второй релиз - буллщит.
Ещё бы хелло и покет можно было удалить или хотя бы отключить их загрузку при старте.
about:config всё спокойно отключается.
И даже возможно спокойно удаляются. Эти дополнения лежат в:
firefox/browser/features/
Для особо ленивых даже аддон есть которое отключает все эти аддоны.
> Для особо ленивых даже аддон есть которое отключает все эти аддоны.Вся суть Win-юзеров. Ставить аддон, вместо того, чтобы сходить на about:performance и отключить там эти дополнения.
>Вся суть Win-юзеровВся суть чванливых nix-юзеров - кичатся отгугленным решением тривиальной проблемы, вместо того, чтобы спокойно ответить.
Озвучивая такие вопросы (про отключение покета) или выражая явную безосновательную уверенность в невозможности отключения, вы явно гордитесь своей имбицильностью. Не осилить вбить в гугле "how to disable pocket in firefox" - это должно порицаться окружающими
Вам тут не справочная.
> Вся суть чванливых nix-юзеровНеверно, это чуть фанатиков. Высокое ЧСВ у них в крови.
Это не зависит от того, что именно использует фанатик, какого цвета у него грива, рост его в холке и т.д.
> Вся суть Win-юзеров. Ставить аддон, вместо того, чтобы сходить на about:performance и отключить там эти дополнения.Вся суть Win-разработчиков. Вместо предоставления возможности установить только нужное вынуждать пользователя ставить всё, а потом отключать/удалять лишнее.
> Вся суть Win-юзеров. Ставить аддон, вместо того, чтобы сходить на about:performance и
> отключить там эти дополнения.Поздравляю, ты получаешь +1 к умению ассенизатора. За умение выгребать за мозиллой.
А он подписанный? 😀
😀 😀 😀
> И даже возможно спокойно удаляются из ..firefox/browser/features/Без "возможно", точно удаляются ;)
> Ещё бы хелло и покет можно было удалить или хотя бы отключить
> их загрузку при старте.Они ещё с 47 версии отключаются через about:performance
не правда.
Прощай uBlock и uMatrix с оригинального гитхаба. Что-нибудь есть равноценное, и экономное до памяти ?
> Прощай uBlock и uMatrix с оригинального гитхаба. Что-нибудь есть равноценное, и экономное
> до памяти ?Вас чем-то не устраивают те же самые uBlock Origin и uMatrix с каталога дополнений? Они там обновлены 22 и 24 июня этого года.
Я пользуюсь about:addons - не находит ни uBlock origin ни uMatrix , а гугол на addons.mozilla.org действительно находит. Интересно, почему такая разница в поисковой выдаче ?
В поисковой выдаче не показываются дополнения, которые уже установлены. Удалите uBlock Origin - и он появится в поиске.
> В поисковой выдаче не показываются дополнения, которые уже установленызамечательно
> Вас чем-то не устраивают те же самые uBlock Origin и uMatrix с
> каталога дополнений? Они там обновлены 22 и 24 июня этого года.Нас не устраивает что Мозилла хочет устроить walled garden и единолично решать за всех что такое хорошо и что такое плохо. Это идет вразрез с принципами опенсорса и до такой наглости не докатился даже гугл.
А если хардкорить с кастомными сборками - извините, но хромиум как база для пропатчивания намного продвинутее технологически и гораздо безопаснее. Достаточно сказать что хромиум умеет Linux containers. Поэтому мозила может идти в пешее со своим гетто.
> Нас не устраивает что Мозилла хочет устроить walled garden и единолично решать
> за всех что такое хорошо и что такое плохо. Это идет
> вразрез с принципами опенсорса и до такой наглости не докатился даже
> гугл.Лолшто? Обязательная цифровая подпись дополнений в хромом появилась давно.
> Лолшто? Обязательная цифровая подпись дополнений в хромом появилась давно.Лолшто? Я только что установил git-версию uBlock просто перетащив ее в окошко хромиума. Как максимум, это в настройках надо разрешить, но так по крайней мере можно. А мозилла хочет сделать чтобы так было вообще совсем нельзя.
Вот я и думаю: зачем мне мозилла, которую коцают по настраивоемости до уровня хрома, залоченная жестче чем хром, да еще и с кучей технических проблем и постоянным breakage? Это не браузер а геморроя кусок, и мне плевать что мозильским менеджерам на очередную яхту денег не хватило.
> хромиумаТак хрома или его огрызка хромиума?
Pale Moon
Под palemoon практически уже нет нормальных дополнений, не может на прямую использовать ffmpeg и т.д. Так что как заменена не подходит.
Firefox агонизирует, и это тупик, выкидывание XUL не остановить.https://github.com/gcarq/inox-patchset выглядит неплохо как паллиатив.
> https://github.com/gcarq/inox-patchset выглядит неплохо как паллиатив.Во-во. Если мозилла так хочет быть хромом - ну чтож, придется дебастардизировать хром.
> большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.а будут просто их загугливать и копипастить
>не поддерживают автоматическое обновление (каждый новый выпуск необходимо отслеживать и устанавливать вручную)Виндузятники должны страдать.
Точняк, при наличии лепрозориев/портов как-то фиолетово.
> Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.eval not evil
>позволяющим установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополненияБудут в ярлыке прописывать, как и стартовые страницы сейчас.
>большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.Им же было не лень написать трояна и воровать крдитки, а сейчас троян сломается и им опять станет не лень.
А как быть с тем 1% которые скачивают исходный код с гитхабов и собирают используемые расширения у себя на компе?Не верят официальным сборкам с цифровыми подписями!
Пиши разрабам чтоб подписывали для гитхабов. Вон EFF раздают со своего сайта подписанный xpi HTTPS Everywhere давно.
> Пиши разрабам чтоб подписывали для гитхабов.А зачем вляпывать разработчиков в вендорлок? Это подло и некультурно, за такие вещи в приичных местах канделябрами по морде бьют.
> большинство авторов вредоносных дополнений ленивыLOL
Всё это было сделано,чтобы блокировать шпионящие дополнения.А то,что шпионит сам браузер,никого не беспокоит?
> Всё это было сделано,чтобы блокировать шпионящие дополнения.А то,что шпионит сам браузер,никого
> не беспокоит?Беспокоит. Авторов pale moon, inox browser, ... ;)
У меня дополнение на 90% висти на внешнем сервере, в браузере только пара функций, которые всё это дело в страницу встраивают. Что-то менять - ломать всю кроссбраузерность нахрен. Мозиловцы не разрешают делать дополнения, октоыре соединяются с другими серверами и тянут оттуда инфу. Мои пользователи останутся без плагина в мозиле. А эти долбоящеры могут идти лесом со своими "секьюрностями"
1) Есть исправление этого бага: https://geektimes.ru/post/279132/#comment_9480372
Красивый вариант с config'ом, наверняка, прикроют в будущем.
2) Этот баг почти никак не увеличивает защищённость FF. Теперь вместо своего аддона малварщики могут, например, ставить Greasemonkey со своим скриптом и скрывать его (из списка аддонов и кнопку на панели) через userChrome.css или через Stylish.