forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проект Mozilla продлил возможность работы с неподписанными д..."
Отправлено opennews, 23-Янв-16 09:29

Представители Mozilla объявили (https://blog.mozilla.org/addons/2016/01/22/add-on-signing-up.../)  о внесении изменений в план (https://wiki.mozilla.org/Addons/Extension_Signing#Timeline) по переходу Firefox на использование дополнений, подписанных цифровой подписью. Изначально в выпуске Firefox 44, намеченном на 26 января, ожидалось удаление опции, позволяющей отключить введённые в Firefox 43 ограничения по работе только с подписанными дополнениями. Полный запрет неподписанных дополнений решено перенести на 19 апреля, т.е. опция "xpinstall.signatures.required" будет удалена из about:config в Firefox 46.

Решение обусловлено желанием дать разработчикам дополнений ещё немного времени на внедрение цифровых подписей и намерением добавить в Firefox 45 режим временной установки дополнений (https://www.opennet.ru/opennews/art.shtml?num=43585), позволяющий  установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение автоматически удалено).

В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений  в ESR-выпусках с длительным сроком поддержки. Таким образом, в обозримом будущем опция "xpinstall.signatures.required"  будет присутствовать в ночных сборках, выпусках для разработчиков  и ESR-редакциях. Также подтверждено формирование обезличенных сборок релизов и бета-выпусков Firefox, которые будут распространяться параллельно с официальными версиями и не требовать обязательного использования подписанных дополнений. Подобные сборки будут формироваться начиная с выпуска Firefox 46.

Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений  не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество  тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится (http://danstillman.com/2015/11/23/firefox-extension-scanning...) к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

URL: https://blog.mozilla.org/addons/2016/01/22/add-on-signing-up.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=43722

Исходное сообщение
"Проект Mozilla продлил возможность работы с неподписанными д..." Отправлено opennews, 23-Янв-16 09:29
Представители Mozilla объявили (https://blog.mozilla.org/addons/2016/01/22/add-on-signing-up.../) о внесении изменений в план (https://wiki.mozilla.org/Addons/Extension_Signing#Timeline) по переходу Firefox на использование дополнений, подписанных цифровой подписью. Изначально в выпуске Firefox 44, намеченном на 26 января, ожидалось удаление опции, позволяющей отключить введённые в Firefox 43 ограничения по работе только с подписанными дополнениями. Полный запрет неподписанных дополнений решено перенести на 19 апреля, т.е. опция "xpinstall.signatures.required" будет удалена из about:config в Firefox 46. Решение обусловлено желанием дать разработчикам дополнений ещё немного времени на внедрение цифровых подписей и намерением добавить в Firefox 45 режим временной установки дополнений (https://www.opennet.ru/opennews/art.shtml?num=43585), позволяющий установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение автоматически удалено). В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки. Таким образом, в обозримом будущем опция "xpinstall.signatures.required" будет присутствовать в ночных сборках, выпусках для разработчиков и ESR-редакциях. Также подтверждено формирование обезличенных сборок релизов и бета-выпусков Firefox, которые будут распространяться параллельно с официальными версиями и не требовать обязательного использования подписанных дополнений. Подобные сборки будут формироваться начиная с выпуска Firefox 46. Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится (http://danstillman.com/2015/11/23/firefox-extension-scanning...) к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности. URL: https://blog.mozilla.org/addons/2016/01/22/add-on-signing-up.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=43722

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Представители Mozilla объявили (https://blog.mozilla.org/addons/2016/01/22/add-on-signing-update/) 
>  о внесении изменений в план (https://wiki.mozilla.org/Addons/Extension_Signing#Timeline) 
> по переходу Firefox на использование дополнений, подписанных цифровой подписью. Изначально 
> в выпуске Firefox 44, намеченном на 26 января, ожидалось удаление опции, 
> позволяющей отключить введённые в Firefox 43 ограничения по работе только с 
> подписанными дополнениями. Полный запрет неподписанных дополнений решено перенести на 
> 19 апреля, т.е. опция "xpinstall.signatures.required" будет удалена из about:config в 
> Firefox 46.

> Решение обусловлено желанием дать разработчикам дополнений ещё немного времени на внедрение 
> цифровых подписей и намерением добавить в Firefox 45 режим временной установки 
> дополнений (https://www.opennet.ru/opennews/art.shtml?num=43585), позволяющий  установить 
> любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения 
> только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение 
> автоматически удалено).

> В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования 
> неподписанных дополнений  в ESR-выпусках с длительным сроком поддержки. Таким образом, 
> в обозримом будущем опция "xpinstall.signatures.required"  будет присутствовать в ночных 
> сборках, выпусках для разработчиков  и ESR-редакциях. Также подтверждено формирование 
> обезличенных сборок релизов и бета-выпусков Firefox, которые будут распространяться параллельно 
> с официальными версиями и не требовать обязательного использования подписанных дополнений. 
> Подобные сборки будут формироваться начиная с выпуска Firefox 46.

> Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать 
> распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики 
> дополнений  не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой 
> позицией и считают, что механизм обязательной проверки по цифровой подписи лишь 
> создаёт сложности для разработчиков и приводит к увеличению времени доведения до 
> пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество 
>  тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) 
> для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить 
> вредоносный код, например, через формирование операции на лету путём соединения нескольких 
> строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится 
> (http://danstillman.com/2015/11/23/firefox-extension-scanning-is-security-theater) 
> к тому, что большинство авторов вредоносных дополнений ленивы и не будут 
> прибегать к подобным техникам скрытия вредоносной активности.

> URL: https://blog.mozilla.org/addons/2016/01/22/add-on-signing-update/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=43722

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру