The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.07.2016 23:04  Доступны сборки Firefox без обязательной проверки цифровой подписи дополнений

Разработчики проекта Mozilla объявили о начале формирования обезличенных сборок Firefox, поставляемых без блокировки работы дополнений, не имеющих цифровой подписи. Сборки доступны только для локали en-US, не поддерживают автоматическое обновление (каждый новый выпуск необходимо отслеживать и устанавливать вручную) и поставляются без элементов брендинга, т.е. без использования логотипа и имени Firefox.

В релизе Firefox 48, который состоится 2 августа, из настроек about:config будет убрана опция "xpinstall.signatures.required", позволявшая отключить проверку дополнений по цифровой подписи. Таким образом, начиная с Firefox 48 все установленные дополнения должны быть подписаны их создателями и обойти данное ограничение можно только установив представленную выше отдельную обезличенную сборку или воспользовавшись режимом временной установки дополнений, позволяющим установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение будет автоматически удалено).

Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

  1. Главная ссылка к новости (https://blog.mozilla.org/addon...)
  2. OpenNews: Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи
  3. OpenNews: Проект Mozilla продлил возможность работы с неподписанными дополнениями в Firefox
  4. OpenNews: В Firefox 45 появится поддержка временной установки неподписанных дополнений
  5. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
  6. OpenNews: Firefox переходит на новый API разработки дополнений, совместимый с API для Chrome
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 23:07, 29/07/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +19 +/
    Цирк.
     
     
  • 2.28, username (??), 12:43, 30/07/2016 [^] [ответить]    [к модератору]
  • +/
    Вам не угодить. Весдь сборки специально сделали для бугуртящих про лицензию на брендинг и подписи в дополнениях. Ну хотели? Ну так пользуйтесь ими. Или вам что нужно, чтобы все эти сборки юзали?
     
     
  • 3.53, АнонимХ (ok), 21:24, 31/07/2016 [^] [ответить]    [к модератору]
  • +3 +/
    > Вам не угодить.

    А не надо было ни то, ни другое. К чему это мельтешение. Правильно, цирк. Откидывают коленца, уж не знают, чем зрителей еще привлечь, либо, что бы попасть в новости

     
     
  • 4.66, Аноним (-), 15:49, 01/08/2016 [^] [ответить]     [к модератору]
  • –1 +/
    Зрители от них устали Половина пользователей уже сбежали Ибо нефиг ... весь текст скрыт [показать]
     
  • 3.58, Аноним (58), 03:52, 01/08/2016 [^] [ответить]     [к модератору]  
  • +/
    И сделали их максимально неюзабельными Автообновление Зачем оно в 21 веке, кач... весь текст скрыт [показать]
     
  • 3.65, Аноним (-), 15:47, 01/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Спасибо, тут подсказали окончательное решение мозильского вопроса https githu... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 23:09, 29/07/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    И зачем надо было городить все эти подписи если по прежнему можно поставитить и ... весь текст скрыт [показать]
     
     
  • 2.9, rshadow (ok), 00:41, 30/07/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    Да то же самое что и: DNT, X-Frame-Options, запрет на кросдоменные запросы и т.д. Куча геморроя разработчикам, а толку ноль.
     
  • 2.13, bugmenot (??), 00:57, 30/07/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Затем, что если человек ставит себе такую сборку, то он сознаёт, что делает и ни... весь текст скрыт [показать]
     
     
  • 3.19, KOT040188 (ok), 01:40, 30/07/2016 [^] [ответить]    [к модератору]  
  • +/
    А раньше пользователи, когда ставили сторонние расширения, не осознавали это и претензии мозиле предъявляли?
     
     
  • 4.32, X2asd (ok), 15:37, 30/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Да
     
     
  • 5.46, KOT040188 (ok), 04:08, 31/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Бред.
     
  • 4.34, Гентушник (ok), 16:06, 30/07/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    Ещё есть всякие говно-программы (а точнее говно-инсталляторы) под винду, которые ставят заодно кучу вирусных расширений в браузеры. Возможно цифровая подпись поможет против этого бороться?
     
     
  • 5.47, KOT040188 (ok), 04:09, 31/07/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    Не надо с этим бороться! Виндузятники должны страдать!
     
  • 5.63, Аноним (-), 09:58, 01/08/2016 [^] [ответить]    [к модератору]  
  • +/
    А они не найдут способ отключить? :)
     
  • 3.67, Аноним (-), 15:52, 01/08/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Казуалов задрали отвалы расширений, постоянные изменения в интерфейсе, реклама в... весь текст скрыт [показать]
     
  • 3.72, Аноним (-), 20:25, 01/08/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    что набор патчиков по типу Inox Browser как-то более перспективно выглядит Е... весь текст скрыт [показать]
     
  • 1.4, A.Stahl (ok), 23:13, 29/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +12 +/
    >большинство авторов большинство авторов вредоносных дополнений ленивы

    Ага, вот кто-кто а именно авторы "вредоносных дополнений" -- лентяи. Именно лень толкает их к раработке (очевидно на безвозмездной основе) кучи кода. Всё именно так, как нафантазировали мозилловцы в своих эротических снах. Тьфу!

     
     
  • 2.24, mrd (??), 10:19, 30/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Про ленивость - это не слова разработчиков, а слова блоггера. Это его мнение. А эта статья тоже это не учитывает, пишет что это - мнение разработчиков.
     
  • 2.25, Аноним (-), 10:28, 30/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Да. Если бы они не были лентяями, то нашли бы куда более интересный и безвредный способ заработка.
     
     
  • 3.36, Crazy Alex (ok), 16:38, 30/07/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Это если считать, что их волнует безвредность. "Интересный" же - это вообще очень индивидуальное понятие. Взлом как-то никогда "не интересным" не считался, кстати.
     
  • 3.64, Аноним (-), 10:00, 01/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Тут уже не просто затраты отдача тут ещё есть и третья ось По вашему мошенник... весь текст скрыт [показать]
     
  • 1.5, uldus (ok), 23:14, 29/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А слабо им было по умолчанию продолжить распространять версию с возможностью отключения проверки дополнений, а в качестве опции предложить  сборки с вырезанной настройкой? Всё равно вся их верификация вредоносных дополнений как слону дробина и обходится влёт.
     
     
  • 2.55, Аноним (-), 21:27, 31/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > А слабо им было по умолчанию оставить уязвимость с опцией в about:config?
    > Всё равно вся их верификация вредоносных дополнений как слону дробина и обходится влёт.

    Ясно.

     
     
  • 3.59, iPony (?), 07:20, 01/08/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну вообще, возможность секурного сохранения настроек есть Так же как хранение п... весь текст скрыт [показать]
     
     
  • 4.61, Аноним (58), 08:18, 01/08/2016 [^] [ответить]    [к модератору]  
  • +/
    > Так же как хранение паролей, например, в Apple KeyChain, в Gnome Keyring,

    Есть KeePass, зачем остальные извращения?

     
     
  • 5.62, iPony (?), 09:50, 01/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Потому что это совсем не то.
    Ибо должно быть API для использования другими программами - браузеры, IM месседжеры, ssh клиенты и так далее
     
  • 1.6, Аноним (-), 23:54, 29/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну да, а сами при этом в каждый релиз добавляют новое неотключаемое дополненние, каждое из которых следит за пользователями.
     
     
  • 2.17, bugmenot (??), 01:09, 30/07/2016 [^] [ответить]     [к модератору]  
  • +/
    За что я не люблю опеннет - за то, что тут каждый второй коммент - буллщит Сгон... весь текст скрыт [показать]
     
     
  • 3.68, Аноним (-), 19:51, 01/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    За что я не люблю мозиллу? Каждый второй релиз - буллщит.
     
  • 1.7, Ivan_83 (ok), 00:02, 30/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Ещё бы хелло и покет можно было удалить или хотя бы отключить их загрузку при старте.
     
     
  • 2.10, Аноним (-), 00:48, 30/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    about:config всё спокойно отключается.
    И даже возможно спокойно удаляются. Эти дополнения лежат в:
    firefox/browser/features/
     
     
  • 3.11, rshadow (ok), 00:55, 30/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Для особо ленивых даже аддон есть которое отключает все эти аддоны.
     
     
  • 4.16, bugmenot (??), 01:07, 30/07/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    > Для особо ленивых даже аддон есть которое отключает все эти аддоны.

    Вся суть Win-юзеров. Ставить аддон, вместо того, чтобы сходить на about:performance и отключить там эти дополнения.

     
     
  • 5.23, Аноним (-), 10:13, 30/07/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    >Вся суть Win-юзеров

    Вся суть чванливых nix-юзеров - кичатся отгугленным решением тривиальной проблемы, вместо того, чтобы спокойно ответить.

     
     
  • 6.26, АнонимХ (ok), 11:32, 30/07/2016 [^] [ответить]    [к модератору]  
  • +7 +/
    Озвучивая такие вопросы (про отключение покета) или выражая явную безосновательную уверенность в невозможности отключения, вы явно гордитесь своей имбицильностью. Не осилить вбить в гугле "how to disable pocket in firefox"  - это должно порицаться окружающими
     
  • 6.27, Аноним (-), 11:33, 30/07/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Вам тут не справочная.
     
  • 6.60, iPony (?), 07:23, 01/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Вся суть чванливых nix-юзеров

    Неверно, это чуть фанатиков. Высокое ЧСВ у них в крови.
    Это не зависит от того, что именно использует фанатик, какого цвета у него грива, рост его в холке и т.д.

     
  • 5.41, Аноним (-), 19:55, 30/07/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Вся суть Win-разработчиков Вместо предоставления возможности установить только ... весь текст скрыт [показать]
     
  • 5.69, Аноним (-), 19:52, 01/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Поздравляю, ты получаешь 1 к умению ассенизатора За умение выгребать за мозилл... весь текст скрыт [показать]
     
  • 4.22, Аноним (-), 07:27, 30/07/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    А он подписанный? 😀
     
     
  • 5.57, Аноним (-), 02:29, 01/08/2016 [^] [ответить]    [к модератору]  
  • +/
    😀 😀 😀
     
  • 3.44, paulus (ok), 23:10, 30/07/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > И даже возможно спокойно удаляются из ..firefox/browser/features/

    Без "возможно", точно удаляются ;)

     
  • 2.15, bugmenot (??), 01:06, 30/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Ещё бы хелло и покет можно было удалить или хотя бы отключить
    > их загрузку при старте.

    Они ещё с 47 версии отключаются через about:performance

     
     
  • 3.52, notmebug (?), 19:42, 31/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    не правда.
     
  • 1.8, Дымчатый (?), 00:15, 30/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Прощай uBlock и uMatrix с оригинального гитхаба. Что-нибудь есть равноценное, и экономное до памяти ?
     
     
  • 2.14, bugmenot (??), 01:01, 30/07/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Вас чем-то не устраивают те же самые uBlock Origin и uMatrix с каталога дополнен... весь текст скрыт [показать]
     
     
  • 3.21, Дымчатый (?), 02:24, 30/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Я пользуюсь about:addons - не находит ни uBlock origin ни uMatrix , а гугол на addons.mozilla.org действительно находит. Интересно, почему такая разница в поисковой выдаче ?
     
     
  • 4.29, НяшМяш (ok), 13:50, 30/07/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    В поисковой выдаче не показываются дополнения, которые уже установлены. Удалите uBlock Origin - и он появится в поиске.
     
     
  • 5.54, АнонимХ (ok), 21:26, 31/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > В поисковой выдаче не показываются дополнения, которые уже установлены

    замечательно

     
  • 3.70, Аноним (-), 20:22, 01/08/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Нас не устраивает что Мозилла хочет устроить walled garden и единолично решать з... весь текст скрыт [показать]
     
     
  • 4.75, Аноним (58), 21:43, 01/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Лолшто Обязательная цифровая подпись дополнений в хромом появилась давно ... весь текст скрыт [показать]
     
     
  • 5.77, Аноним (-), 14:03, 03/08/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Лолшто Я только что установил git-версию uBlock просто перетащив ее в окошко хр... весь текст скрыт [показать]
     
     
  • 6.78, Аноним (58), 15:30, 03/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > хромиума

    Так хрома или его огрызка хромиума?

     
  • 2.18, Crazy Alex (ok), 01:30, 30/07/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    Pale Moon
     
     
  • 3.43, paulus (ok), 23:08, 30/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Под palemoon практически уже нет нормальных дополнений, не может на прямую использовать ffmpeg и т.д. Так что как заменена не подходит.
     
     
  • 4.50, rob pike (?), 10:34, 31/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Firefox агонизирует, и это тупик, выкидывание XUL не остановить.

    https://github.com/gcarq/inox-patchset выглядит неплохо как паллиатив.

     
     
  • 5.71, Аноним (-), 20:23, 01/08/2016 [^] [ответить]    [к модератору]  
  • +/
    > https://github.com/gcarq/inox-patchset выглядит неплохо как паллиатив.

    Во-во. Если мозилла так хочет быть хромом - ну чтож, придется дебастардизировать хром.

     
  • 1.12, rshadow (ok), 00:56, 30/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    > большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

    а будут просто их загугливать и копипастить

     
  • 1.20, KOT040188 (ok), 01:43, 30/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    >не поддерживают автоматическое обновление (каждый новый выпуск необходимо отслеживать и устанавливать вручную)

    Виндузятники должны страдать.

     
     
  • 2.30, Аноним (-), 14:00, 30/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Точняк, при наличии лепрозориев/портов как-то фиолетово.
     
  • 1.33, Аноним (-), 15:46, 30/07/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    eval not evil... весь текст скрыт [показать]
     
  • 1.45, Аноним (-), 01:11, 31/07/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Будут в ярлыке прописывать, как и стартовые страницы сейчас Им же было не лень ... весь текст скрыт [показать]
     
  • 1.48, Аноним (-), 07:01, 31/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как быть с тем 1% которые скачивают исходный код с гитхабов и собирают используемые расширения у себя на компе?

    Не верят официальным сборкам с цифровыми подписями!

     
     
  • 2.56, Аноним (-), 21:32, 31/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Пиши разрабам чтоб подписывали для гитхабов. Вон EFF раздают со своего сайта подписанный xpi HTTPS Everywhere давно.
     
     
  • 3.73, Аноним (-), 20:28, 01/08/2016 [^] [ответить]    [к модератору]  
  • +/
    > Пиши разрабам чтоб подписывали для гитхабов.

    А зачем вляпывать разработчиков в вендорлок? Это подло и некультурно, за такие вещи в приичных местах канделябрами по морде бьют.

     
  • 1.49, Онаним (?), 08:20, 31/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > большинство авторов вредоносных дополнений ленивы

    LOL

     
  • 1.51, Vlad (??), 11:41, 31/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Всё это было сделано,чтобы блокировать шпионящие дополнения.А то,что шпионит сам браузер,никого не беспокоит?
     
     
  • 2.74, Аноним (-), 20:29, 01/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Всё это было сделано,чтобы блокировать шпионящие дополнения.А то,что шпионит сам браузер,никого
    > не беспокоит?

    Беспокоит. Авторов pale moon, inox browser, ... ;)

     
  • 1.76, Аноним (-), 09:22, 03/08/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    У меня дополнение на 90 висти на внешнем сервере, в браузере только пара функци... весь текст скрыт [показать]
     
  • 1.79, GrayFace (?), 08:00, 05/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    1) Есть исправление этого бага: https://geektimes.ru/post/279132/#comment_9480372
    Красивый вариант с config'ом, наверняка, прикроют в будущем.
    2) Этот баг почти никак не увеличивает защищённость FF. Теперь вместо своего аддона малварщики могут, например, ставить Greasemonkey со своим скриптом и скрывать его (из списка аддонов и кнопку на панели) через userChrome.css или через Stylish.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor