форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
Сообщение от opennews (??) on 23-Янв-16, 09:29
Представители Mozilla объявили (https://blog.mozilla.org/addons/2016/01/22/add-on-signing-up.../)  о внесении изменений в план (https://wiki.mozilla.org/Addons/Extension_Signing#Timeline) по переходу Firefox на использование дополнений, подписанных цифровой подписью. Изначально в выпуске Firefox 44, намеченном на 26 января, ожидалось удаление опции, позволяющей отключить введённые в Firefox 43 ограничения по работе только с подписанными дополнениями. Полный запрет неподписанных дополнений решено перенести на 19 апреля, т.е. опция "xpinstall.signatures.required" будет удалена из about:config в Firefox 46. Решение обусловлено желанием дать разработчикам дополнений ещё немного времени на внедрение цифровых подписей и намерением добавить в Firefox 45 режим временной установки дополнений (https://www.opennet.ru/opennews/art.shtml?num=43585), позволяющий  установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение автоматически удалено). В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений  в ESR-выпусках с длительным сроком поддержки. Таким образом, в обозримом будущем опция "xpinstall.signatures.required"  будет присутствовать в ночных сборках, выпусках для разработчиков  и ESR-редакциях. Также подтверждено формирование обезличенных сборок релизов и бета-выпусков Firefox, которые будут распространяться параллельно с официальными версиями и не требовать обязательного использования подписанных дополнений. Подобные сборки будут формироваться начиная с выпуска Firefox 46. Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений  не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество  тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится (http://danstillman.com/2015/11/23/firefox-extension-scanning...) к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности. URL: https://blog.mozilla.org/addons/2016/01/22/add-on-signing-up.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=43722
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проект Mozilla продлил возможность работы с неподписанными д..."	+18 +/–
Сообщение от Аноним (??) on 23-Янв-16, 09:29
Сначала сделать плохо, потом по чуть-чуть откатывать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Проект Mozilla продлил возможность работы с неподписанными д..."	+4 +/–
	Сообщение от boooo on 23-Янв-16, 14:06
	По опыту работы в техподдержке, могу заверить, что лучший способ сделать клиенту хорошо это: 1. Испортить что-то (убрать фичу, например); 2. Вернуть все назад; 3. Клиент доволен!
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "Проект Mozilla продлил возможность работы с неподписанными д..."	+3 +/–
	Сообщение от Аноним (??) on 23-Янв-16, 14:15
	убунтустайл Мы думаем над переходом Мы переходим в ближайшем будущем Мы пока отложим переход Мы ничего никуда не переводим в итоге
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "Проект Mozilla продлил возможность работы с неподписанными д..."	–1 +/–
Сообщение от Аноним (??) on 23-Янв-16, 09:30
Да ладно? Mozilla все-таки еще хочет, чтобы ее браузером пользовались?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Проект Mozilla продлил возможность работы с неподписанными д..."	+8 +/–
	Сообщение от grayich (ok) on 23-Янв-16, 11:47
	Не факт, всё что они делают в последнее время, указывает на их желание убить фф.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	10. "Проект Mozilla продлил возможность работы с неподписанными д..."	+3 +/–
	Сообщение от Аэропорт on 23-Янв-16, 15:04
	например, что? многопроцессность? возможность быстрого порта хромодополнений? повышение безопасности браузера? от мозиллы последнее время ожидаются лишь хорошие измения, пусть и глобальные.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	11. "Проект Mozilla продлил возможность работы с неподписанными д..."	+5 +/–
	Сообщение от Анонисимусис on 23-Янв-16, 15:23
	Изменения эти пришли (и еще даже не пришли, а только ожидаются) слишком поздно, когда они значительно потеряли рынок. Нужно было раньше думать и внедрять изменения, а они то Pocket добавили, то Hello, которое не особо нужно. Еще они сделали Firefox OS, который нафиг никому не сдался, сделали и закрыли Персону, сделали и как-то где-то развивают Accounts и Sync (которое тоже работает с нареканиями). Нет, положительные вещи тоже были, но они теряются на фоне фейлов.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Проект Mozilla продлил возможность работы с неподписанными д..."	+7 +/–
	Сообщение от Crazy Alex (ok) on 23-Янв-16, 15:27
	То есть переход на пожирание памяти как хром, попытка угробить большинство существующих дополнений и побудить разработчиков не пользоваться мозилловскими API для них, намного более мощными, чем хромовские? Да, именно это.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "Проект Mozilla продлил возможность работы с неподписанными д..."	+2 +/–
	Сообщение от Lain_13_too_lazy_to_login on 23-Янв-16, 16:13
	С теми изменениями, которые они обещают, Фокс, конечно, наконец станет быстрым браузером (у меня он заметно тормознее Хрома работает сейчас), вот только ненужным так-как один Хром у нас уже есть, а именно ограничения по типу Хромовских нам и светят если они выпилят XUL. А они это и собираются сделать. В сравнении с этим невозможность установки неподписанных дополнений или пачка сломанных из-за e10s это сущие пустяки.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	24. "Проект Mozilla продлил возможность работы с неподписанными д..."	–1 +/–
	Сообщение от Тот_Самый_Анонимус on 24-Янв-16, 09:46
	>если они выпилят XUL Хульню надо выпиливать, как основной источник тормозов. Пусть будет в виде плагина для тех, кому нужно, пусть даже в официальной поставке и включено по умолчанию.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	28. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Аноним (??) on 24-Янв-16, 21:36
	А что от лисы останется? Зачем надо второй хром, хромой и отстающий?
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	37. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Тот_Самый_Анонимус on 26-Янв-16, 16:35
	> А что от лисы останется? Зачем надо второй хром, хромой и отстающий? Геко же. Движок без ХУЛьни.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	20. "Проект Mozilla продлил возможность работы с неподписанными д..."	+4 +/–
	Сообщение от Аноним (??) on 23-Янв-16, 22:08
	Многопроцессность - а среднестатистическому пользователю оно видно? Хромодополнения - навскидку и не вспомню сколько-нибудь полезное дополнение для хрома, аналогов которому не было бы в Firefox, зато там есть тонны мусора - дополнения, представляющие собой закладки для сайтов и т. д. и т. п. Напротив, именно для Firefox существует множество уникальных и реально полезных расширений, многие из которых со всеми этими изменениями будут похерены. Безопасность - не уверен, что сейчас хромой безопаснее лисы. Есть ощущение, что в итоге получится очередной хромоклон, который не будет нужен никому, ибо ниша браузера с тремя кнопками для хомяков уже занята, а ничего принципиально нового предложено не будет.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	21. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Аноним (??) on 23-Янв-16, 23:36
	> Безопасность - не уверен, что сейчас хромой безопаснее лисы. При всей моей нелюбви в хрому должен признать, что судя по Pwn2Own и прочим новостям/конкурсам, он самый безопасный. В случаях, когда другие браузеры пропустили эксплоит до системы, в хроме он часто всё ещё сидит в песочнице и не опасен. Бывают конечно случаи обхода его песочницы, но ситуация всё равно лучше.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	27. "Проект Mozilla продлил возможность работы с неподписанными д..."	–1 +/–
	Сообщение от Аноним (??) on 24-Янв-16, 21:31
	> от мозиллы последнее время ожидаются лишь хорошие измения, пусть и глобальные. А тебе не проще будет хром взять? Там все это есть. И дополнения бесполезные, потому что апи ничего не позволяет.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	39. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Нечестивый (ok) on 30-Янв-16, 10:41
	> повышение безопасности браузера? Только не забывай что когда пиндоевропеец говорит "безопасность" он имеет в виду безопасность от тебя, а не для тебя.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

5. "Проект Mozilla продлил возможность работы с неподписанными д..."	+2 +/–
Сообщение от Аноним (??) on 23-Янв-16, 12:04
Повременили с отключением неподписанных дополнений, потом убрали все дополнения и сказали пользоваться инновациями
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Проект Mozilla продлил возможность работы с неподписанными д..."	+1 +/–
Сообщение от Sluggard (ok) on 23-Янв-16, 12:44
> ешение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки А потом сиди и жди, когда они в очередной раз изменят решение, а вообще везде неподписанные запретят...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Проект Mozilla продлил возможность работы с неподписанными д..."	+4 +/–
	Сообщение от SENIORMASTERCHIEFDEVELOPER on 23-Янв-16, 12:53
	Статистически определят что эту функцию используют 49% пользователей, а значит не нужно.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
Сообщение от Аноним (??) on 23-Янв-16, 15:45
А кто знает, как устанавливать неподписанные дополнения в старых версиях Firefox, где нет опции "xpinstall.signatures.required"? Например, большая часть версий Adblock Plus, которые годятся для старых версий Firefox, Firefox устанавливать не желает как "неподписанные".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Проект Mozilla продлил возможность работы с неподписанными д..."	+2 +/–
	Сообщение от Z (??) on 23-Янв-16, 17:07
	вместо очень уж странного и таки жручего adblock попробуйте ublock
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Аноним (??) on 23-Янв-16, 17:24
	Я не понял, как настраивать ublock, но это другой вопрос. Меня в принципе интересует: как отключить проверку подписи.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	25. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Аноним (??) on 24-Янв-16, 12:39
	Давай научу. Включаешь 2 птички с дополнительными подписками - все готово.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	22. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Аноним (??) on 24-Янв-16, 01:07
	urlfilter
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Проект Mozilla продлил возможность работы с неподписанными д..."	+1 +/–
Сообщение от Anonplus on 23-Янв-16, 18:35
В старых версиях, где нет опции "xpinstall.signatures.required", нет и проверки подписей. Установка не удаётся из-за чего-то иного.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Anonplus on 23-Янв-16, 18:35
	Упс, ошибся веткой, сообщение адресовано анониму выше.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Аноним (??) on 23-Янв-16, 22:02
	> В старых версиях, где нет опции "xpinstall.signatures.required", нет и проверки подписей. > Установка не удаётся из-за чего-то иного. Именно из-за этого. Я не помню точно, какое сообщение при этом появляется, но суть в подписи.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	31. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Anonplus on 25-Янв-16, 05:29
	То есть, ты ставишь более-менее свежий адблок, который уже подписан, на старый браузер, который про подписи не знает ничего? Если так, то возможно, что конфликт из-за этого и нужно брать дополнение постарее, когда его еще не подписывали. Или собирать, не подписывая, самому из сорцов, если у адблока они открыты. Что касается той опции, то она появилась именно одновременно с началом подписывания первых дополнений.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	35. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Аноним (??) on 25-Янв-16, 13:18
	В последний раз при попытке в Palemoon 3.6.2 добавить adblock_plus-1.3.9 (работает с Firefox 3.5 и выше) появилось сообщение: "Pale Moon could not install the file at https://addons.cdn.mozilla.net/user-media/addons/1865/adbloc... because: Signing could not be verified. -260". adblock_plus-1.3.2 установился. Еще я не смог установить adblock_plus-1.3... в Iceweasel 3.5 (в Debian 6 Squeeze это штатный браузер). Насчет собственно Firefox не помню, но вроде тоже было что-то такое.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

23. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
Сообщение от Аноним (??) on 24-Янв-16, 01:52
Как женщины капризничают, то так хотят, то передумывают
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	29. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Аноним (??) on 24-Янв-16, 23:03
	> Как женщины капризничают, то так хотят, то передумывают Голова у мозиллы болит.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Проект Mozilla продлил возможность работы с неподписанными д..."	+3 +/–
Сообщение от freehck (ok) on 25-Янв-16, 03:11
> Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности. Господа, это крышка, клиника, идиотизм. По воле случая в моём круге общения есть некоторое количество геймеров, с которыми я хорошо знаком. Так вот, среди них выделяется парочка "гриферов" -- тех, кто сознательно вредит другим игрокам, получая от этого удовольствие. Для них это спорт, искусство, радость. Так вот, они тратят не часы, и даже не дни, чтобы найти дисбаланс в интересующих их играх. Готов поспорить, что они знают правила этих игр даже лучше собственно разработчиков этих игр. И что характерно, другие игроки думают, что делать то, что делают эти ребята -- просто. Однако это не так. Я точно знаю, что они планируют свои диверсии заранее долгое время. Обсуждают тактики нападения, стратегии выживания, оттачивают навыки владения интерфейсом. Ту же самую ошибку совершает и Mozilla. Нельзя, НЕЛЬЗЯ думать, что они ленивы. Они не ленивы. Они МАНЬЯКИ, мать вашу за ногу. (надеюсь, это не слишком грубо для opennet). --- Ленивый автор, он как ленивый грифер-подражатель, который увидел непосредственно момент совершения пакости, и идёт её повторить. Он не знает ничего о том, какая работа была проведена до, и не знает, что именно делать потом. Он не видит возможностей. Защищаться от таких авторов нет смысла: они всё равно ничего особо страшного не сделают. Вот если от кого и надо защищаться, так это от тех, от кого данные система защиты не спасает. От тех, кто не окажется "ленив". От тех, кому так *хочется* нагнуть пользователей, что для него это вопрос *чести*. Я точно знаю, такие люди есть. Боже упаси их недооценивать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	32. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
	Сообщение от Anonplus on 25-Янв-16, 05:41
	Путаешь людей, которые вредят для того, чтобы вредить (как старуха Шапокляк), с людьми, которые просто не брезгуют заработать любым способом. Как гласит народная мудрость - нет смысла бежать быстрее медведя, достаточно бежать быстрее самого медленного товарища. Так и тут - 100% безопасности достичь невозможно. Но усилив безопасность мы получим снижение числа инцидентов, потому что часть вирусописателей пойдет окучивать юзеров менее безопасных популярных браузеров. Ибо главная их цель - бабло, а не "гадить из принципа"
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	33. "Проект Mozilla продлил возможность работы с неподписанными д..."	+1 +/–
	Сообщение от freehck (ok) on 25-Янв-16, 09:07
	> Путаешь людей, которые вредят для того, чтобы вредить (как старуха Шапокляк), с > людьми, которые просто не брезгуют заработать любым способом. Я думаю, что Остап Бендер был бы более уместной аналогией, нежели Шапокляк. ;) > Как гласит народная мудрость - нет смысла бежать быстрее медведя, достаточно бежать > быстрее самого медленного товарища. Так и тут - 100% безопасности достичь > невозможно. Но усилив безопасность мы получим снижение числа инцидентов, потому что > часть вирусописателей пойдет окучивать юзеров менее безопасных популярных браузеров. > Ибо главная их цель - бабло, а не "гадить из принципа" Народ как всегда дурак, а Вы, прхоже, не чувствуете разницы между шестёркой-домушником и профессиональным вором. Шестёрка и так где-нибудь да проворуется, и ещё разочек отсидит. А вот Вора поймать -- вот это действительно проблема. И что мозилловцы делают? От мелкого ворья вводят систему автопроверок. А для Воров вводят обязательную сертификацию дополнений, увеличивающую время доставки обновлений до пользователей.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	34. "Проект Mozilla продлил возможность работы с неподписанными д..."	–1 +/–
	Сообщение от iPony on 25-Янв-16, 09:51
	У меня знакомый писал зловредную нагрузку к браузерам. В основном к IE. Чисто бызнес и деньги - ничего личного. И не надо тут рассказывать про идейных, это всё давно умерло в 90-ых.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "Проект Mozilla продлил возможность работы с неподписанными д..."	+/–
Сообщение от Sumanai on 25-Янв-16, 17:03
> В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки. Слава Богам, хотя бы чем- то можно будет пользоваться. А то я уже думал всё, конец лисе, и сидеть на старой версии, пока веб не отвалится.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Проект Mozilla продлил возможность работы с неподписанными д..."	+1 +/–
Сообщение от Аноним (??) on 27-Янв-16, 22:21
рубить блокировщики рекламы планируют. наукообразно подводя и к благообразном обоснованию про "злоумышленников"(рекламодателей в таковом качестве - не рассматривают, похоже. а напрасно. почти 1/3 малвари - прет через инжекции через "баннерные сети")
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема