The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.12.2015 10:41  В Firefox 45 появится поддержка временной установки неподписанных дополнений

В Firefox 43 по умолчанию активирован режим обязательной проверки дополнений по цифровой подписи, но оставлена возможность отключения подобной проверки через изменение опции "xpinstall.signatures.required" в about:config. В одном из ближайших выпусков данную опцию планируется удалить, что приведёт к невозможности установки в финальных релизах неподписанных дополнений. Для упрощения тестирования дополнений в релизах реализован режим временной установки дополнений, который будет включен в состав Firefox 45.

Включение поддержки временной загрузки дополнений осуществляется во вкладке Add-ons на странице "about:debugging". Новая возможность позволит разработчикам установить любое неподписанное дополнение из локального XPI-файла, но данное дополнение будет активно только в рамках текущего сеанса и после первого перезапуска браузера будет автоматически удалено. Временно можно будет загрузить только дополнения, не требующие для своей активации перезапуска браузера. Ранее для тестирования дополнений планировалось выпускать специальные обезличенные отдельные сборки релизов, но, судя по всему, разработчики ограничатся механизмом временной установки дополнений. Для отладки дополнений также предлагается использовать команду "jpm sign", позволяющую снабдить дополнение цифровой подписью на локальной системе.

Mozilla рассчитывает, что введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. По мнению некоторых разработчиков дополнений механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

  1. Главная ссылка к новости (https://blog.mozilla.org/addon...)
  2. OpenNews: В Firefox 45 появится WebExtensions, совместимый с Chrome интерфейс разработки дополнений
  3. OpenNews: Тестирование Firefox 44-beta и Firefox Developer Edition 45
  4. OpenNews: Релиз Firefox 43
  5. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
  6. OpenNews: Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 11:21, 25/12/2015 [ответить] [смотреть все]    [к модератору]
  • +11 +/
    Никто не мешает зарегистрировать одноразовый аккаунт в Mozilla и командой  "jpm sign" локально подписать вредоносное дополнение,  после чего распространять его как и раньше через левые сайты. Только раньше пользователь видя дополнение на левом сайте мог подозревать, что нет никаких гарантий, а теперь видя, что дополнение подписано он слепо доверится и будет считать, что всё в порядке.
     
     
  • 2.7, Аноним, 12:19, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +6 +/
    Если вспомнить о том, что народу поддельные гугл хромы закачиваются, вместо настоящих, то ничего не мешает зловредам запускаться через лаунчер, предварительно формирующий каталог с расширениями до запуска.
     
     
  • 3.24, виндотролль, 15:51, 25/12/2015 [^] [ответить] [смотреть все]     [к модератору]
  • –1 +/
    Думаю, тут много нюансов Можно требовать наличие аккаунта разработчика на mdn, ... весь текст скрыт [показать]
     
  • 2.12, Аноним, 13:51, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    мазиле это индифирентно, они экосистему строят - добро пожаловать в стойло, эк... весь текст скрыт [показать] [показать ветку]
     
  • 2.23, виндотролль, 15:48, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    мне кажется, что такая подпись будет каким-либо образом привязана к локальной ма... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Аноним, 11:24, 25/12/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    -Это означает, что я временно могу доехать до дома https www youtube com watch... весь текст скрыт [показать]
     
  • 1.3, Аноним, 11:26, 25/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    Блин, сколько их уже просили - если поставили целью скопировать Chrome, то хотя бы сделайте нормальный отладочный режим, как в Chrome, чтобы можно было на свой страх и риск отключать все тупые запреты. Принудительная защита, в условиях, что ни все хотят чтобы их защищали, ни к чему хорошему не приводит.
     
     
  • 2.14, Аноним, 14:00, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    а как тогда пичкать тебя рекламой партнеров и банить адблоки?!
     
     
  • 3.20, аннонним, 14:56, 25/12/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Мда все как в последнем сезоне соуз парка, реклама обрела человеческий образ, он... весь текст скрыт [показать]
     
  • 3.28, GrammarNarziss, 19:02, 25/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –5 +/
    "пичкать тебе рекламу", нерусь!
     
     
  • 4.29, Аноним, 19:20, 25/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    ащет оригинальный вариант был правильнее
     
  • 4.38, anonymous, 02:07, 27/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    капчить тебе рекламу
     
  • 2.27, GrammarNarziss, 19:00, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    "что не все", позорище
     
     
  • 3.40, Аноним, 13:57, 29/01/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > "что не все", позорище

    Заглавная буква, точка, нерусь!

     
  • 1.4, anonymous, 11:37, 25/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Вроде собирались делать специальную версию с отключенной проверкой. Неужели забыли?
     
     
  • 2.5, Michael Shigorin, 11:43, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    I Ранее для тестирования дополнений планировалось выпускать специальные обезли... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, iPony, 12:25, 25/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А что будет Alt Linux в такой ситуации?
    Ведь ущемляется свобода пользователя.
     
     
  • 4.17, Аноним, 14:42, 25/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    как и федора - удалят огнелиса из репов в пользу вазелина/пальмы
     
  • 4.39, freehck, 02:55, 27/12/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да в общем-то iceweasel пока никто не отменял.
     
  • 2.25, Аноним, 16:00, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Мозила испугалась, что все свалят сначала на не брендированную, а потом на какой... весь текст скрыт [показать] [показать ветку]
     
  • 2.31, irinat, 21:54, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    В Debian в Iceweasel 43 0 1 добавили исключение для расширений, загружаемых из ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, anonimous, 11:47, 25/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Нет ничего более постоянного, чем временное.
     
  • 1.9, Аноним, 12:29, 25/12/2015 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Mozilla Мы помогаем побороть лень ... весь текст скрыт [показать]
     
  • 1.10, Аноним, 12:34, 25/12/2015 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А откуда инфа, что от unbraded выпусков отказались ... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 14:08, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    непонятен смысл этого мозильского гетто ... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, Аноним, 12:45, 25/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А маркет, маркет-то когда запилють?
     
     
  • 2.13, Аноним, 13:54, 25/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    Так вот же он: https://marketplace.firefox.com/
     
  • 1.15, Аноним, 14:08, 25/12/2015 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    О, да, что то в последнее время новости от Mozilla одна другой лучше.
     
  • 1.18, Аноним, 14:43, 25/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    THERE IS NO ESCAPE
     
  • 1.19, Аноним, 14:51, 25/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Кряки будут?
     
  • 1.26, testt, 18:15, 25/12/2015 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    >xpinstall.signatures.required в about:config. В одном из ближайших выпусков данную опцию планируется удалить

    Зачем? Всех пользователй держат за идитов?

     
  • 1.30, prokoudine, 21:05, 25/12/2015 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    - А можно?
    - Нельзя.
    - А если очень-очень хочется?
    - Разрешаю.
     
     
  • 2.33, Аноним, 00:24, 26/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    А кто ты такой, чтобы запрещать?
     
  • 1.37, Аноним, 01:27, 27/12/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    хм печально все это конец 2015 года, а они все про дополнения мне интересно... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor