The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проект Mozilla продлил возможность работы с неподписанными д..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от opennews (??) on 23-Янв-16, 09:29 
Представители Mozilla объявили (https://blog.mozilla.org/addons/2016/01/22/add-on-signing-up.../)  о внесении изменений в план (https://wiki.mozilla.org/Addons/Extension_Signing#Timeline) по переходу Firefox на использование дополнений, подписанных цифровой подписью. Изначально в выпуске Firefox 44, намеченном на 26 января, ожидалось удаление опции, позволяющей отключить введённые в Firefox 43 ограничения по работе только с подписанными дополнениями. Полный запрет неподписанных дополнений решено перенести на 19 апреля, т.е. опция "xpinstall.signatures.required" будет удалена из about:config в Firefox 46.


Решение обусловлено желанием дать разработчикам дополнений ещё немного времени на внедрение цифровых подписей и намерением добавить в Firefox 45 режим временной установки дополнений (https://www.opennet.ru/opennews/art.shtml?num=43585), позволяющий  установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение автоматически удалено).


В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений  в ESR-выпусках с длительным сроком поддержки. Таким образом, в обозримом будущем опция "xpinstall.signatures.required"  будет присутствовать в ночных сборках, выпусках для разработчиков  и ESR-редакциях. Также подтверждено формирование обезличенных сборок релизов и бета-выпусков Firefox, которые будут распространяться параллельно с официальными версиями и не требовать обязательного использования подписанных дополнений. Подобные сборки будут формироваться начиная с выпуска Firefox 46.


Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений  не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество  тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится (http://danstillman.com/2015/11/23/firefox-extension-scanning...) к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.


URL: https://blog.mozilla.org/addons/2016/01/22/add-on-signing-up.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=43722

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект Mozilla продлил возможность работы с неподписанными д..."  +18 +/
Сообщение от Аноним (??) on 23-Янв-16, 09:29 
Сначала сделать плохо, потом по чуть-чуть откатывать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Проект Mozilla продлил возможность работы с неподписанными д..."  +4 +/
Сообщение от boooo on 23-Янв-16, 14:06 
По опыту работы в техподдержке, могу заверить, что лучший способ сделать клиенту хорошо это:
1. Испортить что-то (убрать фичу, например);
2. Вернуть все назад;
3. Клиент доволен!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Проект Mozilla продлил возможность работы с неподписанными д..."  +3 +/
Сообщение от Аноним (??) on 23-Янв-16, 14:15 
убунтустайл
Мы думаем над переходом
Мы переходим в ближайшем будущем
Мы пока отложим переход
Мы ничего никуда не переводим в итоге
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "Проект Mozilla продлил возможность работы с неподписанными д..."  –1 +/
Сообщение от Аноним (??) on 23-Янв-16, 09:30 
Да ладно? Mozilla все-таки еще хочет, чтобы ее браузером пользовались?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Проект Mozilla продлил возможность работы с неподписанными д..."  +8 +/
Сообщение от grayich (ok) on 23-Янв-16, 11:47 
Не факт, всё что они делают в последнее время, указывает на их желание убить фф.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Проект Mozilla продлил возможность работы с неподписанными д..."  +3 +/
Сообщение от Аэропорт on 23-Янв-16, 15:04 
например, что? многопроцессность? возможность быстрого порта хромодополнений? повышение безопасности браузера?
от мозиллы последнее время ожидаются лишь хорошие измения, пусть и глобальные.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Проект Mozilla продлил возможность работы с неподписанными д..."  +5 +/
Сообщение от Анонисимусис on 23-Янв-16, 15:23 
Изменения эти пришли (и еще даже не пришли, а только ожидаются) слишком поздно, когда они значительно потеряли рынок. Нужно было раньше думать и внедрять изменения, а они то Pocket добавили, то Hello, которое не особо нужно. Еще они сделали Firefox OS, который нафиг никому не сдался, сделали и закрыли Персону, сделали и как-то где-то развивают Accounts и Sync (которое тоже работает с нареканиями). Нет, положительные вещи тоже были, но они теряются на фоне фейлов.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Проект Mozilla продлил возможность работы с неподписанными д..."  +7 +/
Сообщение от Crazy Alex (ok) on 23-Янв-16, 15:27 
То есть переход на пожирание памяти как хром, попытка угробить большинство существующих дополнений и побудить разработчиков не пользоваться мозилловскими API для них, намного более мощными, чем хромовские? Да, именно это.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Проект Mozilla продлил возможность работы с неподписанными д..."  +2 +/
Сообщение от Lain_13_too_lazy_to_login on 23-Янв-16, 16:13 
С теми изменениями, которые они обещают, Фокс, конечно, наконец станет быстрым браузером (у меня он заметно тормознее Хрома работает сейчас), вот только ненужным так-как один Хром у нас уже есть, а именно ограничения по типу Хромовских нам и светят если они выпилят XUL. А они это и собираются сделать. В сравнении с этим невозможность установки неподписанных дополнений или пачка сломанных из-за e10s это сущие пустяки.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

24. "Проект Mozilla продлил возможность работы с неподписанными д..."  –1 +/
Сообщение от Тот_Самый_Анонимус on 24-Янв-16, 09:46 
>если они выпилят XUL

Хульню надо выпиливать, как основной источник тормозов. Пусть будет в виде плагина для тех, кому нужно, пусть даже в официальной поставке и включено по умолчанию.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

28. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 24-Янв-16, 21:36 
А что от лисы останется? Зачем надо второй хром, хромой и отстающий?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Тот_Самый_Анонимус on 26-Янв-16, 16:35 
> А что от лисы останется? Зачем надо второй хром, хромой и отстающий?

Геко же. Движок без ХУЛьни.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

20. "Проект Mozilla продлил возможность работы с неподписанными д..."  +4 +/
Сообщение от Аноним (??) on 23-Янв-16, 22:08 
Многопроцессность - а среднестатистическому пользователю оно видно? Хромодополнения - навскидку и не вспомню сколько-нибудь полезное дополнение для хрома, аналогов которому не было бы в Firefox, зато там есть тонны мусора - дополнения, представляющие собой закладки для сайтов и т. д. и т. п. Напротив, именно для Firefox существует множество уникальных и реально полезных расширений, многие из которых со всеми этими изменениями будут похерены. Безопасность - не уверен, что сейчас хромой безопаснее лисы.
Есть ощущение, что в итоге получится очередной хромоклон, который не будет нужен никому, ибо ниша браузера с тремя кнопками для хомяков уже занята, а ничего принципиально нового предложено не будет.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 23-Янв-16, 23:36 
> Безопасность - не уверен, что сейчас хромой безопаснее лисы.

При всей моей нелюбви в хрому должен признать, что судя по Pwn2Own и прочим новостям/конкурсам, он самый безопасный. В случаях, когда другие браузеры пропустили эксплоит до системы, в хроме он часто всё ещё сидит в песочнице и не опасен. Бывают конечно случаи обхода его песочницы, но ситуация всё равно лучше.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Проект Mozilla продлил возможность работы с неподписанными д..."  –1 +/
Сообщение от Аноним (??) on 24-Янв-16, 21:31 
> от мозиллы последнее время ожидаются лишь хорошие измения, пусть и глобальные.

А тебе не проще будет хром взять? Там все это есть. И дополнения бесполезные, потому что апи ничего не позволяет.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

39. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Нечестивый (ok) on 30-Янв-16, 10:41 
> повышение безопасности браузера?

Только не забывай что когда пиндоевропеец говорит "безопасность" он имеет в виду безопасность от тебя, а не для тебя.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

5. "Проект Mozilla продлил возможность работы с неподписанными д..."  +2 +/
Сообщение от Аноним (??) on 23-Янв-16, 12:04 
Повременили с отключением неподписанных дополнений, потом убрали все дополнения и сказали пользоваться инновациями
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Проект Mozilla продлил возможность работы с неподписанными д..."  +1 +/
Сообщение от Sluggard (ok) on 23-Янв-16, 12:44 
> ешение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки

А потом сиди и жди, когда они в очередной раз изменят решение, а вообще везде неподписанные запретят...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Проект Mozilla продлил возможность работы с неподписанными д..."  +4 +/
Сообщение от SENIORMASTERCHIEFDEVELOPER on 23-Янв-16, 12:53 
Статистически определят что эту функцию используют 49% пользователей, а значит не нужно.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 23-Янв-16, 15:45 
А кто знает, как устанавливать неподписанные дополнения в старых версиях Firefox, где нет опции "xpinstall.signatures.required"?
Например, большая часть версий Adblock Plus, которые годятся для старых версий Firefox, Firefox устанавливать не желает как "неподписанные".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Проект Mozilla продлил возможность работы с неподписанными д..."  +2 +/
Сообщение от Z (??) on 23-Янв-16, 17:07 
вместо очень уж странного и таки жручего adblock попробуйте ublock
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 23-Янв-16, 17:24 
Я не понял, как настраивать ublock, но это другой вопрос.
Меня в принципе интересует: как отключить проверку подписи.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 24-Янв-16, 12:39 
Давай научу. Включаешь 2 птички с дополнительными подписками - все готово.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 24-Янв-16, 01:07 
urlfilter
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Проект Mozilla продлил возможность работы с неподписанными д..."  +1 +/
Сообщение от Anonplus on 23-Янв-16, 18:35 
В старых версиях, где нет опции "xpinstall.signatures.required", нет и проверки подписей. Установка не удаётся из-за чего-то иного.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Anonplus on 23-Янв-16, 18:35 
Упс, ошибся веткой, сообщение адресовано анониму выше.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 23-Янв-16, 22:02 
> В старых версиях, где нет опции "xpinstall.signatures.required", нет и проверки подписей.
> Установка не удаётся из-за чего-то иного.

Именно из-за этого.
Я не помню точно, какое сообщение при этом появляется, но суть в подписи.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

31. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Anonplus on 25-Янв-16, 05:29 
То есть, ты ставишь более-менее свежий адблок, который уже подписан, на старый браузер, который про подписи не знает ничего? Если так, то возможно, что конфликт из-за этого и нужно брать дополнение постарее, когда его еще не подписывали. Или собирать, не подписывая, самому из сорцов, если у адблока они открыты.

Что касается той опции, то она появилась именно одновременно с началом подписывания первых дополнений.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

35. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 25-Янв-16, 13:18 
В последний раз при попытке в Palemoon 3.6.2 добавить adblock_plus-1.3.9 (работает с Firefox 3.5 и выше) появилось сообщение:

"Pale Moon could not install the file at
https://addons.cdn.mozilla.net/user-media/addons/1865/adbloc...
because: Signing could not be verified.
-260".

adblock_plus-1.3.2 установился.

Еще я не смог установить adblock_plus-1.3... в Iceweasel 3.5 (в Debian 6 Squeeze это штатный браузер).

Насчет собственно Firefox не помню, но вроде тоже было что-то такое.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

23. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 24-Янв-16, 01:52 
Как женщины капризничают, то так хотят, то передумывают
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Аноним (??) on 24-Янв-16, 23:03 
> Как женщины капризничают, то так хотят, то передумывают

Голова у мозиллы болит.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Проект Mozilla продлил возможность работы с неподписанными д..."  +3 +/
Сообщение от freehck email(ok) on 25-Янв-16, 03:11 
> Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

Господа, это крышка, клиника, идиотизм.

По воле случая в моём круге общения есть некоторое количество геймеров, с которыми я хорошо знаком. Так вот, среди них выделяется парочка "гриферов" -- тех, кто сознательно вредит другим игрокам, получая от этого удовольствие. Для них это спорт, искусство, радость. Так вот, они тратят не часы, и даже не дни, чтобы найти дисбаланс в интересующих их играх. Готов поспорить, что они знают правила этих игр даже лучше собственно разработчиков этих игр.

И что характерно, другие игроки думают, что делать то, что делают эти ребята -- просто. Однако это не так. Я точно знаю, что они планируют свои диверсии заранее долгое время. Обсуждают тактики нападения, стратегии выживания, оттачивают навыки владения интерфейсом.

Ту же самую ошибку совершает и Mozilla. Нельзя, НЕЛЬЗЯ думать, что они ленивы. Они не ленивы. Они МАНЬЯКИ, мать вашу за ногу. (надеюсь, это не слишком грубо для opennet).

---

Ленивый автор, он как ленивый грифер-подражатель, который увидел непосредственно момент совершения пакости, и идёт её повторить. Он не знает ничего о том, какая работа была проведена до, и не знает, что именно делать потом. Он не видит возможностей. Защищаться от таких авторов нет смысла: они всё равно ничего особо страшного не сделают.

Вот если от кого и надо защищаться, так это от тех, от кого данные система защиты не спасает. От тех, кто не окажется "ленив". От тех, кому так *хочется* нагнуть пользователей, что для него это вопрос *чести*.

Я точно знаю, такие люди есть. Боже упаси их недооценивать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Anonplus on 25-Янв-16, 05:41 
Путаешь людей, которые вредят для того, чтобы вредить (как старуха Шапокляк), с людьми, которые просто не брезгуют заработать любым способом.

Как гласит народная мудрость - нет смысла бежать быстрее медведя, достаточно бежать быстрее самого медленного товарища. Так и тут - 100% безопасности достичь невозможно. Но усилив безопасность мы получим снижение числа инцидентов, потому что часть вирусописателей пойдет окучивать юзеров менее безопасных популярных браузеров. Ибо главная их цель - бабло, а не "гадить из принципа"

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "Проект Mozilla продлил возможность работы с неподписанными д..."  +1 +/
Сообщение от freehck email(ok) on 25-Янв-16, 09:07 
> Путаешь людей, которые вредят для того, чтобы вредить (как старуха Шапокляк), с
> людьми, которые просто не брезгуют заработать любым способом.

Я думаю, что Остап Бендер был бы более уместной аналогией, нежели Шапокляк. ;)

> Как гласит народная мудрость - нет смысла бежать быстрее медведя, достаточно бежать
> быстрее самого медленного товарища. Так и тут - 100% безопасности достичь
> невозможно. Но усилив безопасность мы получим снижение числа инцидентов, потому что
> часть вирусописателей пойдет окучивать юзеров менее безопасных популярных браузеров.
> Ибо главная их цель - бабло, а не "гадить из принципа"

Народ как всегда дурак, а Вы, прхоже, не чувствуете разницы между шестёркой-домушником и профессиональным вором. Шестёрка и так где-нибудь да проворуется, и ещё разочек отсидит. А вот Вора поймать -- вот это действительно проблема.

И что мозилловцы делают? От мелкого ворья вводят систему автопроверок. А для Воров вводят обязательную сертификацию дополнений, увеличивающую время доставки обновлений до пользователей.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Проект Mozilla продлил возможность работы с неподписанными д..."  –1 +/
Сообщение от iPony on 25-Янв-16, 09:51 
У меня знакомый писал зловредную нагрузку к браузерам. В основном к IE.
Чисто бызнес и деньги - ничего личного.
И не надо тут рассказывать про идейных, это всё давно умерло в 90-ых.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "Проект Mozilla продлил возможность работы с неподписанными д..."  +/
Сообщение от Sumanai email on 25-Янв-16, 17:03 
> В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки.

Слава Богам, хотя бы чем- то можно будет пользоваться. А то я уже думал всё, конец лисе, и сидеть на старой версии, пока веб не отвалится.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Проект Mozilla продлил возможность работы с неподписанными д..."  +1 +/
Сообщение от Аноним (??) on 27-Янв-16, 22:21 
рубить блокировщики рекламы планируют.
наукообразно подводя и к благообразном обоснованию про "злоумышленников"(рекламодателей в таковом качестве - не рассматривают, похоже. а напрасно. почти 1/3 малвари - прет через инжекции через "баннерные сети")
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру