forum.opennet.ru

Составление сообщения

Исходное сообщение

"Доступны сборки Firefox без обязательной проверки цифровой п..."
Отправлено opennews, 29-Июл-16 23:07

Разработчики проекта Mozilla объявили (https://blog.mozilla.org/addons/2016/07/29/extension-signing.../) о начале формирования обезличенных сборок (https://wiki.mozilla.org/Add-ons/Extension_Signing#Unbranded...) Firefox, поставляемых без блокировки работы дополнений, не имеющих цифровой подписи. Сборки доступны только для локали en-US и поставляются без элементов брендинга, т.е. без использования логотипа и имени Firefox.

В релизе Firefox 48, который состоится 2 августа, из настроек about:config будет убрана опция "xpinstall.signatures.required", позволявшая отключить проверку дополнений по цифровой подписи. Таким образом, начиная с Firefox 48 все установленные дополнения должны быть подписаны их создателями и обойти данное ограничение можно только установив представленную выше отдельную обезличенную сборку или воспользовавшись режимом временной установки дополнений, позволяющим установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение будет автоматически удалено).
Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится (http://danstillman.com/2015/11/23/firefox-extension-scanning...) к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.
URL: https://blog.mozilla.org/addons/2016/07/29/extension-signing.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=44875

Исходное сообщение
"Доступны сборки Firefox без обязательной проверки цифровой п..." Отправлено opennews, 29-Июл-16 23:07
Разработчики проекта Mozilla объявили (https://blog.mozilla.org/addons/2016/07/29/extension-signing.../) о начале формирования обезличенных сборок (https://wiki.mozilla.org/Add-ons/Extension_Signing#Unbranded...) Firefox, поставляемых без блокировки работы дополнений, не имеющих цифровой подписи. Сборки доступны только для локали en-US и поставляются без элементов брендинга, т.е. без использования логотипа и имени Firefox. В релизе Firefox 48, который состоится 2 августа, из настроек about:config будет убрана опция "xpinstall.signatures.required", позволявшая отключить проверку дополнений по цифровой подписи. Таким образом, начиная с Firefox 48 все установленные дополнения должны быть подписаны их создателями и обойти данное ограничение можно только установив представленную выше отдельную обезличенную сборку или воспользовавшись режимом временной установки дополнений, позволяющим установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение будет автоматически удалено). Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится (http://danstillman.com/2015/11/23/firefox-extension-scanning...) к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности. URL: https://blog.mozilla.org/addons/2016/07/29/extension-signing.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=44875

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики проекта Mozilla объявили (https://blog.mozilla.org/addons/2016/07/29/extension-signing-availability-of-unbranded-builds/) 
> о начале формирования обезличенных сборок (https://wiki.mozilla.org/Add-ons/Extension_Signing#Unbranded_Builds) 
> Firefox, поставляемых без блокировки работы дополнений, не имеющих цифровой подписи. Сборки 
> доступны только для локали en-US и поставляются без элементов брендинга, т.е. 
> без использования логотипа и имени Firefox.

> В релизе Firefox 48, который состоится 2 августа, из настроек about:config будет 
> убрана опция "xpinstall.signatures.required", позволявшая отключить проверку дополнений 
> по цифровой подписи. Таким образом, начиная с Firefox 48 все установленные 
> дополнения должны быть подписаны их создателями и обойти данное ограничение можно 
> только установив представленную выше отдельную обезличенную сборку или воспользовавшись 
>  режимом временной установки дополнений, позволяющим установить любое неподписанное дополнение 
> из локального XPI-файла с активностью данного дополнения только в рамках текущего 
> сеанса (после первого перезапуска браузера временное дополнение будет автоматически удалено).

> Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать 
> распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики 
> дополнений не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой 
> позицией и считают, что механизм обязательной проверки по цифровой подписи лишь 
> создаёт сложности для разработчиков и приводит к увеличению времени доведения до 
> пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество 
> тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) 
> для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить 
> вредоносный код, например, через формирование операции на лету путём соединения нескольких 
> строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится 
> (http://danstillman.com/2015/11/23/firefox-extension-scanning-is-security-theater) 
> к тому, что большинство авторов вредоносных дополнений ленивы и не будут 
> прибегать к подобным техникам скрытия вредоносной активности.

> URL: https://blog.mozilla.org/addons/2016/07/29/extension-signing-availability-of-unbranded-builds/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=44875

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру