The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

23.01.2016 09:23  Проект Mozilla продлил возможность работы с неподписанными дополнениями в Firefox

Представители Mozilla объявили о внесении изменений в план по переходу Firefox на использование дополнений, подписанных цифровой подписью. Изначально в выпуске Firefox 44, намеченном на 26 января, ожидалось удаление опции, позволяющей отключить введённые в Firefox 43 ограничения по работе только с подписанными дополнениями. Полный запрет неподписанных дополнений решено перенести на 19 апреля, т.е. опция "xpinstall.signatures.required" будет удалена из about:config в Firefox 46.

Решение обусловлено желанием дать разработчикам дополнений ещё немного времени на внедрение цифровых подписей и намерением добавить в Firefox 45 режим временной установки дополнений, позволяющий установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение автоматически удалено).

В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки. Таким образом, в обозримом будущем опция "xpinstall.signatures.required" будет присутствовать в ночных сборках, выпусках для разработчиков и ESR-редакциях. Также подтверждено формирование обезличенных сборок релизов и бета-выпусков Firefox, которые будут распространяться параллельно с официальными версиями и не требовать обязательного использования подписанных дополнений. Подобные сборки будут формироваться начиная с выпуска Firefox 46.

Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

  1. Главная ссылка к новости (https://blog.mozilla.org/addon...)
  2. OpenNews: Около 40% пользователей Firefox не используют дополнения
  3. OpenNews: В Firefox 45 появится поддержка временной установки неподписанных дополнений
  4. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
  5. OpenNews: Mozilla отложила блокирование Firefox-дополнений без цифровой подписи
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:29, 23/01/2016 [ответить] [смотреть все]
  • +18 +/
    Сначала сделать плохо, потом по чуть-чуть откатывать.
     
     
  • 2.8, boooo, 14:06, 23/01/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    По опыту работы в техподдержке, могу заверить, что лучший способ сделать клиенту... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Аноним, 14:15, 23/01/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    убунтустайл Мы думаем над переходом Мы переходим в ближайшем будущем Мы пока отл... весь текст скрыт [показать]
     
  • 1.2, Аноним, 09:30, 23/01/2016 [ответить] [смотреть все]  
  • –1 +/
    Да ладно? Mozilla все-таки еще хочет, чтобы ее браузером пользовались?
     
     
  • 2.4, grayich, 11:47, 23/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Не факт, всё что они делают в последнее время, указывает на их желание убить фф.
     
     
  • 3.10, Аэропорт, 15:04, 23/01/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    например, что многопроцессность возможность быстрого порта хромодополнений по... весь текст скрыт [показать]
     
     
  • 4.11, Анонисимусис, 15:23, 23/01/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    Изменения эти пришли и еще даже не пришли, а только ожидаются слишком поздно, ... весь текст скрыт [показать]
     
  • 4.12, Crazy Alex, 15:27, 23/01/2016 [^] [ответить] [смотреть все]  
  • +7 +/
    То есть переход на пожирание памяти как хром, попытка угробить большинство существующих дополнений и побудить разработчиков не пользоваться мозилловскими API для них, намного более мощными, чем хромовские? Да, именно это.
     
  • 4.14, Lain_13_too_lazy_to_login, 16:13, 23/01/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    С теми изменениями, которые они обещают, Фокс, конечно, наконец станет быстрым б... весь текст скрыт [показать]
     
     
  • 5.24, Тот_Самый_Анонимус, 09:46, 24/01/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Хульню надо выпиливать, как основной источник тормозов Пусть будет в виде плаги... весь текст скрыт [показать]
     
     
  • 6.28, Аноним, 21:36, 24/01/2016 [^] [ответить] [смотреть все]  
  • +/
    А что от лисы останется? Зачем надо второй хром, хромой и отстающий?
     
     
  • 7.37, Тот_Самый_Анонимус, 16:35, 26/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Геко же Движок без ХУЛьни ... весь текст скрыт [показать]
     
  • 4.20, Аноним, 22:08, 23/01/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Многопроцессность - а среднестатистическому пользователю оно видно Хромодополне... весь текст скрыт [показать]
     
     
  • 5.21, Аноним, 23:36, 23/01/2016 [^] [ответить] [смотреть все]  
  • +/
    При всей моей нелюбви в хрому должен признать, что судя по Pwn2Own и прочим ново... весь текст скрыт [показать]
     
  • 4.27, Аноним, 21:31, 24/01/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    А тебе не проще будет хром взять Там все это есть И дополнения бесполезные, по... весь текст скрыт [показать]
     
  • 4.39, Нечестивый, 10:41, 30/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Только не забывай что когда пиндоевропеец говорит безопасность он имеет в виду... весь текст скрыт [показать]
     
  • 1.5, Аноним, 12:04, 23/01/2016 [ответить] [смотреть все]  
  • +2 +/
    Повременили с отключением неподписанных дополнений, потом убрали все дополнения ... весь текст скрыт [показать]
     
  • 1.6, Sluggard, 12:44, 23/01/2016 [ответить] [смотреть все]  
  • +1 +/
    > ешение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки

    А потом сиди и жди, когда они в очередной раз изменят решение, а вообще везде неподписанные запретят...

     
     
  • 2.7, SENIORMASTERCHIEFDEVELOPER, 12:53, 23/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Статистически определят что эту функцию используют 49 пользователей, а значит н... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Аноним, 15:45, 23/01/2016 [ответить] [смотреть все]  
  • +/
    А кто знает, как устанавливать неподписанные дополнения в старых версиях Firefox... весь текст скрыт [показать]
     
     
  • 2.15, Z, 17:07, 23/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    вместо очень уж странного и таки жручего adblock попробуйте ublock
     
     
  • 3.16, Аноним, 17:24, 23/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Я не понял, как настраивать ublock, но это другой вопрос Меня в принципе интере... весь текст скрыт [показать]
     
     
  • 4.25, Аноним, 12:39, 24/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Давай научу. Включаешь 2 птички с дополнительными подписками - все готово.
     
  • 3.22, Аноним, 01:07, 24/01/2016 [^] [ответить] [смотреть все]  
  • +/
    urlfilter
     
  • 1.17, Anonplus, 18:35, 23/01/2016 [ответить] [смотреть все]  
  • +1 +/
    В старых версиях, где нет опции "xpinstall.signatures.required", нет и проверки подписей. Установка не удаётся из-за чего-то иного.
     
     
  • 2.18, Anonplus, 18:35, 23/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Упс, ошибся веткой, сообщение адресовано анониму выше.
     
  • 2.19, Аноним, 22:02, 23/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Именно из-за этого Я не помню точно, какое сообщение при этом появляется, но су... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Anonplus, 05:29, 25/01/2016 [^] [ответить] [смотреть все]  
  • +/
    То есть, ты ставишь более-менее свежий адблок, который уже подписан, на старый б... весь текст скрыт [показать]
     
     
  • 4.35, Аноним, 13:18, 25/01/2016 [^] [ответить] [смотреть все]  
  • +/
    В последний раз при попытке в Palemoon 3 6 2 добавить adblock_plus-1 3 9 работа... весь текст скрыт [показать]
     
  • 1.23, Аноним, 01:52, 24/01/2016 [ответить] [смотреть все]  
  • +/
    Как женщины капризничают, то так хотят, то передумывают
     
     
  • 2.29, Аноним, 23:03, 24/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Голова у мозиллы болит ... весь текст скрыт [показать] [показать ветку]
     
  • 1.30, freehck, 03:11, 25/01/2016 [ответить] [смотреть все]  
  • +3 +/
    Господа, это крышка, клиника, идиотизм По воле случая в моём круге общения есть... весь текст скрыт [показать]
     
     
  • 2.32, Anonplus, 05:41, 25/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Путаешь людей, которые вредят для того, чтобы вредить (как старуха Шапокляк), с людьми, которые просто не брезгуют заработать любым способом.

    Как гласит народная мудрость - нет смысла бежать быстрее медведя, достаточно бежать быстрее самого медленного товарища. Так и тут - 100% безопасности достичь невозможно. Но усилив безопасность мы получим снижение числа инцидентов, потому что часть вирусописателей пойдет окучивать юзеров менее безопасных популярных браузеров. Ибо главная их цель - бабло, а не "гадить из принципа"

     
     
  • 3.33, freehck, 09:07, 25/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Я думаю, что Остап Бендер был бы более уместной аналогией, нежели Шапокляк Н... весь текст скрыт [показать]
     
  • 2.34, iPony, 09:51, 25/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    У меня знакомый писал зловредную нагрузку к браузерам. В основном к IE.
    Чисто бызнес и деньги - ничего личного.
    И не надо тут рассказывать про идейных, это всё давно умерло в 90-ых.
     
  • 1.36, Sumanai, 17:03, 25/01/2016 [ответить] [смотреть все]  
  • +/
    > В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки.

    Слава Богам, хотя бы чем- то можно будет пользоваться. А то я уже думал всё, конец лисе, и сидеть на старой версии, пока веб не отвалится.

     
  • 1.38, Аноним, 22:21, 27/01/2016 [ответить] [смотреть все]  
  • +1 +/
    рубить блокировщики рекламы планируют наукообразно подводя и к благообразном об... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor