The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

23.01.2016 09:23  Проект Mozilla продлил возможность работы с неподписанными дополнениями в Firefox

Представители Mozilla объявили о внесении изменений в план по переходу Firefox на использование дополнений, подписанных цифровой подписью. Изначально в выпуске Firefox 44, намеченном на 26 января, ожидалось удаление опции, позволяющей отключить введённые в Firefox 43 ограничения по работе только с подписанными дополнениями. Полный запрет неподписанных дополнений решено перенести на 19 апреля, т.е. опция "xpinstall.signatures.required" будет удалена из about:config в Firefox 46.

Решение обусловлено желанием дать разработчикам дополнений ещё немного времени на внедрение цифровых подписей и намерением добавить в Firefox 45 режим временной установки дополнений, позволяющий установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение автоматически удалено).

В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки. Таким образом, в обозримом будущем опция "xpinstall.signatures.required" будет присутствовать в ночных сборках, выпусках для разработчиков и ESR-редакциях. Также подтверждено формирование обезличенных сборок релизов и бета-выпусков Firefox, которые будут распространяться параллельно с официальными версиями и не требовать обязательного использования подписанных дополнений. Подобные сборки будут формироваться начиная с выпуска Firefox 46.

Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

  1. Главная ссылка к новости (https://blog.mozilla.org/addon...)
  2. OpenNews: Около 40% пользователей Firefox не используют дополнения
  3. OpenNews: В Firefox 45 появится поддержка временной установки неподписанных дополнений
  4. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
  5. OpenNews: Mozilla отложила блокирование Firefox-дополнений без цифровой подписи
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:29, 23/01/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +18 +/
    Сначала сделать плохо, потом по чуть-чуть откатывать.
     
     
  • 2.8, boooo (?), 14:06, 23/01/2016 [^] [ответить]    [к модератору]
  • +4 +/
    По опыту работы в техподдержке, могу заверить, что лучший способ сделать клиенту хорошо это:
    1. Испортить что-то (убрать фичу, например);
    2. Вернуть все назад;
    3. Клиент доволен!
     
     
  • 3.9, Аноним (-), 14:15, 23/01/2016 [^] [ответить]    [к модератору]
  • +3 +/
    убунтустайл
    Мы думаем над переходом
    Мы переходим в ближайшем будущем
    Мы пока отложим переход
    Мы ничего никуда не переводим в итоге
     
  • 1.2, Аноним (-), 09:30, 23/01/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Да ладно? Mozilla все-таки еще хочет, чтобы ее браузером пользовались?
     
     
  • 2.4, grayich (ok), 11:47, 23/01/2016 [^] [ответить]    [к модератору]
  • +8 +/
    Не факт, всё что они делают в последнее время, указывает на их желание убить фф.
     
     
  • 3.10, Аэропорт (?), 15:04, 23/01/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    например, что? многопроцессность? возможность быстрого порта хромодополнений? повышение безопасности браузера?
    от мозиллы последнее время ожидаются лишь хорошие измения, пусть и глобальные.
     
     
  • 4.11, Анонисимусис (?), 15:23, 23/01/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    Изменения эти пришли (и еще даже не пришли, а только ожидаются) слишком поздно, когда они значительно потеряли рынок. Нужно было раньше думать и внедрять изменения, а они то Pocket добавили, то Hello, которое не особо нужно. Еще они сделали Firefox OS, который нафиг никому не сдался, сделали и закрыли Персону, сделали и как-то где-то развивают Accounts и Sync (которое тоже работает с нареканиями). Нет, положительные вещи тоже были, но они теряются на фоне фейлов.
     
  • 4.12, Crazy Alex (ok), 15:27, 23/01/2016 [^] [ответить]    [к модератору]  
  • +7 +/
    То есть переход на пожирание памяти как хром, попытка угробить большинство существующих дополнений и побудить разработчиков не пользоваться мозилловскими API для них, намного более мощными, чем хромовские? Да, именно это.
     
  • 4.14, Lain_13_too_lazy_to_login (?), 16:13, 23/01/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    С теми изменениями, которые они обещают, Фокс, конечно, наконец станет быстрым браузером (у меня он заметно тормознее Хрома работает сейчас), вот только ненужным так-как один Хром у нас уже есть, а именно ограничения по типу Хромовских нам и светят если они выпилят XUL. А они это и собираются сделать. В сравнении с этим невозможность установки неподписанных дополнений или пачка сломанных из-за e10s это сущие пустяки.
     
     
  • 5.24, Тот_Самый_Анонимус (?), 09:46, 24/01/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    >если они выпилят XUL

    Хульню надо выпиливать, как основной источник тормозов. Пусть будет в виде плагина для тех, кому нужно, пусть даже в официальной поставке и включено по умолчанию.

     
     
  • 6.28, Аноним (-), 21:36, 24/01/2016 [^] [ответить]    [к модератору]  
  • +/
    А что от лисы останется? Зачем надо второй хром, хромой и отстающий?
     
     
  • 7.37, Тот_Самый_Анонимус (?), 16:35, 26/01/2016 [^] [ответить]    [к модератору]  
  • +/
    > А что от лисы останется? Зачем надо второй хром, хромой и отстающий?

    Геко же. Движок без ХУЛьни.

     
  • 4.20, Аноним (-), 22:08, 23/01/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    Многопроцессность - а среднестатистическому пользователю оно видно Хромодополне... весь текст скрыт [показать]
     
     
  • 5.21, Аноним (-), 23:36, 23/01/2016 [^] [ответить]     [к модератору]  
  • +/
    При всей моей нелюбви в хрому должен признать, что судя по Pwn2Own и прочим ново... весь текст скрыт [показать]
     
  • 4.27, Аноним (-), 21:31, 24/01/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > от мозиллы последнее время ожидаются лишь хорошие измения, пусть и глобальные.

    А тебе не проще будет хром взять? Там все это есть. И дополнения бесполезные, потому что апи ничего не позволяет.

     
  • 4.39, Нечестивый (ok), 10:41, 30/01/2016 [^] [ответить]    [к модератору]  
  • +/
    > повышение безопасности браузера?

    Только не забывай что когда пиндоевропеец говорит "безопасность" он имеет в виду безопасность от тебя, а не для тебя.

     
  • 1.5, Аноним (-), 12:04, 23/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Повременили с отключением неподписанных дополнений, потом убрали все дополнения и сказали пользоваться инновациями
     
  • 1.6, Sluggard (ok), 12:44, 23/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > ешение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки

    А потом сиди и жди, когда они в очередной раз изменят решение, а вообще везде неподписанные запретят...

     
     
  • 2.7, SENIORMASTERCHIEFDEVELOPER (?), 12:53, 23/01/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    Статистически определят что эту функцию используют 49% пользователей, а значит не нужно.
     
  • 1.13, Аноним (-), 15:45, 23/01/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    А кто знает, как устанавливать неподписанные дополнения в старых версиях Firefox... весь текст скрыт [показать]
     
     
  • 2.15, Z (??), 17:07, 23/01/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    вместо очень уж странного и таки жручего adblock попробуйте ublock
     
     
  • 3.16, Аноним (-), 17:24, 23/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Я не понял, как настраивать ublock, но это другой вопрос.
    Меня в принципе интересует: как отключить проверку подписи.
     
     
  • 4.25, Аноним (-), 12:39, 24/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Давай научу. Включаешь 2 птички с дополнительными подписками - все готово.
     
  • 3.22, Аноним (-), 01:07, 24/01/2016 [^] [ответить]    [к модератору]  
  • +/
    urlfilter
     
  • 1.17, Anonplus (?), 18:35, 23/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    В старых версиях, где нет опции "xpinstall.signatures.required", нет и проверки подписей. Установка не удаётся из-за чего-то иного.
     
     
  • 2.18, Anonplus (?), 18:35, 23/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Упс, ошибся веткой, сообщение адресовано анониму выше.
     
  • 2.19, Аноним (-), 22:02, 23/01/2016 [^] [ответить]     [к модератору]  
  • +/
    Именно из-за этого Я не помню точно, какое сообщение при этом появляется, но су... весь текст скрыт [показать]
     
     
  • 3.31, Anonplus (?), 05:29, 25/01/2016 [^] [ответить]    [к модератору]  
  • +/
    То есть, ты ставишь более-менее свежий адблок, который уже подписан, на старый браузер, который про подписи не знает ничего? Если так, то возможно, что конфликт из-за этого и нужно брать дополнение постарее, когда его еще не подписывали. Или собирать, не подписывая, самому из сорцов, если у адблока они открыты.

    Что касается той опции, то она появилась именно одновременно с началом подписывания первых дополнений.

     
     
  • 4.35, Аноним (-), 13:18, 25/01/2016 [^] [ответить]     [к модератору]  
  • +/
    В последний раз при попытке в Palemoon 3 6 2 добавить adblock_plus-1 3 9 работа... весь текст скрыт [показать]
     
  • 1.23, Аноним (-), 01:52, 24/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как женщины капризничают, то так хотят, то передумывают
     
     
  • 2.29, Аноним (-), 23:03, 24/01/2016 [^] [ответить]    [к модератору]  
  • +/
    > Как женщины капризничают, то так хотят, то передумывают

    Голова у мозиллы болит.

     
  • 1.30, freehck (ok), 03:11, 25/01/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    Господа, это крышка, клиника, идиотизм По воле случая в моём круге общения есть... весь текст скрыт [показать]
     
     
  • 2.32, Anonplus (?), 05:41, 25/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Путаешь людей, которые вредят для того, чтобы вредить (как старуха Шапокляк), с людьми, которые просто не брезгуют заработать любым способом.

    Как гласит народная мудрость - нет смысла бежать быстрее медведя, достаточно бежать быстрее самого медленного товарища. Так и тут - 100% безопасности достичь невозможно. Но усилив безопасность мы получим снижение числа инцидентов, потому что часть вирусописателей пойдет окучивать юзеров менее безопасных популярных браузеров. Ибо главная их цель - бабло, а не "гадить из принципа"

     
     
  • 3.33, freehck (ok), 09:07, 25/01/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Путаешь людей, которые вредят для того, чтобы вредить (как старуха Шапокляк), с
    > людьми, которые просто не брезгуют заработать любым способом.

    Я думаю, что Остап Бендер был бы более уместной аналогией, нежели Шапокляк. ;)

    > Как гласит народная мудрость - нет смысла бежать быстрее медведя, достаточно бежать
    > быстрее самого медленного товарища. Так и тут - 100% безопасности достичь
    > невозможно. Но усилив безопасность мы получим снижение числа инцидентов, потому что
    > часть вирусописателей пойдет окучивать юзеров менее безопасных популярных браузеров.
    > Ибо главная их цель - бабло, а не "гадить из принципа"

    Народ как всегда дурак, а Вы, прхоже, не чувствуете разницы между шестёркой-домушником и профессиональным вором. Шестёрка и так где-нибудь да проворуется, и ещё разочек отсидит. А вот Вора поймать -- вот это действительно проблема.

    И что мозилловцы делают? От мелкого ворья вводят систему автопроверок. А для Воров вводят обязательную сертификацию дополнений, увеличивающую время доставки обновлений до пользователей.

     
  • 2.34, iPony (?), 09:51, 25/01/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    У меня знакомый писал зловредную нагрузку к браузерам. В основном к IE.
    Чисто бызнес и деньги - ничего личного.
    И не надо тут рассказывать про идейных, это всё давно умерло в 90-ых.
     
  • 1.36, Sumanai (?), 17:03, 25/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки.

    Слава Богам, хотя бы чем- то можно будет пользоваться. А то я уже думал всё, конец лисе, и сидеть на старой версии, пока веб не отвалится.

     
  • 1.38, Аноним (-), 22:21, 27/01/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    рубить блокировщики рекламы планируют наукообразно подводя и к благообразном об... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor