The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.07.2016 23:04  Доступны сборки Firefox без обязательной проверки цифровой подписи дополнений

Разработчики проекта Mozilla объявили о начале формирования обезличенных сборок Firefox, поставляемых без блокировки работы дополнений, не имеющих цифровой подписи. Сборки доступны только для локали en-US, не поддерживают автоматическое обновление (каждый новый выпуск необходимо отслеживать и устанавливать вручную) и поставляются без элементов брендинга, т.е. без использования логотипа и имени Firefox.

В релизе Firefox 48, который состоится 2 августа, из настроек about:config будет убрана опция "xpinstall.signatures.required", позволявшая отключить проверку дополнений по цифровой подписи. Таким образом, начиная с Firefox 48 все установленные дополнения должны быть подписаны их создателями и обойти данное ограничение можно только установив представленную выше отдельную обезличенную сборку или воспользовавшись режимом временной установки дополнений, позволяющим установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение будет автоматически удалено).

Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

  1. Главная ссылка к новости (https://blog.mozilla.org/addon...)
  2. OpenNews: Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи
  3. OpenNews: Проект Mozilla продлил возможность работы с неподписанными дополнениями в Firefox
  4. OpenNews: В Firefox 45 появится поддержка временной установки неподписанных дополнений
  5. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
  6. OpenNews: Firefox переходит на новый API разработки дополнений, совместимый с API для Chrome
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 23:07, 29/07/2016 [ответить] [смотреть все]
  • +19 +/
    Цирк.
     
     
  • 2.28, username, 12:43, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Вам не угодить Весдь сборки специально сделали для бугуртящих про лицензию на б... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, АнонимХ, 21:24, 31/07/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    А не надо было ни то, ни другое К чему это мельтешение Правильно, цирк Откиды... весь текст скрыт [показать]
     
     
  • 4.66, Аноним, 15:49, 01/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Зрители от них устали Половина пользователей уже сбежали Ибо нефиг ... весь текст скрыт [показать]
     
  • 3.58, Аноним, 03:52, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    И сделали их максимально неюзабельными Автообновление Зачем оно в 21 веке, кач... весь текст скрыт [показать]
     
  • 3.65, Аноним, 15:47, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Спасибо, тут подсказали окончательное решение мозильского вопроса https githu... весь текст скрыт [показать]
     
  • 1.3, Аноним, 23:09, 29/07/2016 [ответить] [смотреть все]  
  • +1 +/
    И зачем надо было городить все эти подписи если по прежнему можно поставитить и ... весь текст скрыт [показать]
     
     
  • 2.9, rshadow, 00:41, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Да то же самое что и DNT, X-Frame-Options, запрет на кросдоменные запросы и т д... весь текст скрыт [показать] [показать ветку]
     
  • 2.13, bugmenot, 00:57, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Затем, что если человек ставит себе такую сборку, то он сознаёт, что делает и ни... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, KOT040188, 01:40, 30/07/2016 [^] [ответить] [смотреть все]  
  • +/
    А раньше пользователи, когда ставили сторонние расширения, не осознавали это и п... весь текст скрыт [показать]
     
     
  • 4.32, X2asd, 15:37, 30/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Да
     
     
  • 5.46, KOT040188, 04:08, 31/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Бред.
     
  • 4.34, Гентушник, 16:06, 30/07/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Ещё есть всякие говно-программы а точнее говно-инсталляторы под винду, которые... весь текст скрыт [показать]
     
     
  • 5.47, KOT040188, 04:09, 31/07/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    Не надо с этим бороться! Виндузятники должны страдать!
     
  • 5.63, Аноним, 09:58, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    А они не найдут способ отключить? :)
     
  • 3.67, Аноним, 15:52, 01/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Казуалов задрали отвалы расширений, постоянные изменения в интерфейсе, реклама в... весь текст скрыт [показать]
     
  • 3.72, Аноним, 20:25, 01/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    что набор патчиков по типу Inox Browser как-то более перспективно выглядит Е... весь текст скрыт [показать]
     
  • 1.4, A.Stahl, 23:13, 29/07/2016 [ответить] [смотреть все]  
  • +12 +/
    >большинство авторов большинство авторов вредоносных дополнений ленивы

    Ага, вот кто-кто а именно авторы "вредоносных дополнений" -- лентяи. Именно лень толкает их к раработке (очевидно на безвозмездной основе) кучи кода. Всё именно так, как нафантазировали мозилловцы в своих эротических снах. Тьфу!

     
     
  • 2.24, mrd, 10:19, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Про ленивость - это не слова разработчиков, а слова блоггера Это его мнение А ... весь текст скрыт [показать] [показать ветку]
     
  • 2.25, Аноним, 10:28, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да Если бы они не были лентяями, то нашли бы куда более интересный и безвредный... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Crazy Alex, 16:38, 30/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Это если считать, что их волнует безвредность Интересный же - это вообще очен... весь текст скрыт [показать]
     
  • 3.64, Аноним, 10:00, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Тут уже не просто затраты отдача тут ещё есть и третья ось По вашему мошенник... весь текст скрыт [показать]
     
  • 1.5, uldus, 23:14, 29/07/2016 [ответить] [смотреть все]  
  • +/
    А слабо им было по умолчанию продолжить распространять версию с возможностью отключения проверки дополнений, а в качестве опции предложить  сборки с вырезанной настройкой? Всё равно вся их верификация вредоносных дополнений как слону дробина и обходится влёт.
     
     
  • 2.55, Аноним, 21:27, 31/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ясно ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, iPony, 07:20, 01/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну вообще, возможность секурного сохранения настроек есть Так же как хранение п... весь текст скрыт [показать]
     
     
  • 4.61, Аноним, 08:18, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Есть KeePass, зачем остальные извращения ... весь текст скрыт [показать]
     
     
  • 5.62, iPony, 09:50, 01/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Потому что это совсем не то Ибо должно быть API для использования другими прогр... весь текст скрыт [показать]
     
  • 1.6, Аноним, 23:54, 29/07/2016 [ответить] [смотреть все]  
  • +/
    Ну да, а сами при этом в каждый релиз добавляют новое неотключаемое дополненние,... весь текст скрыт [показать]
     
     
  • 2.17, bugmenot, 01:09, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    За что я не люблю опеннет - за то, что тут каждый второй коммент - буллщит Сгон... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.68, Аноним, 19:51, 01/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    За что я не люблю мозиллу? Каждый второй релиз - буллщит.
     
  • 1.7, Ivan_83, 00:02, 30/07/2016 [ответить] [смотреть все]  
  • +5 +/
    Ещё бы хелло и покет можно было удалить или хотя бы отключить их загрузку при старте.
     
     
  • 2.10, Аноним, 00:48, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    about config всё спокойно отключается И даже возможно спокойно удаляются Эти д... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, rshadow, 00:55, 30/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Для особо ленивых даже аддон есть которое отключает все эти аддоны.
     
     
  • 4.16, bugmenot, 01:07, 30/07/2016 [^] [ответить] [смотреть все]  
  • +6 +/
    > Для особо ленивых даже аддон есть которое отключает все эти аддоны.

    Вся суть Win-юзеров. Ставить аддон, вместо того, чтобы сходить на about:performance и отключить там эти дополнения.

     
     
  • 5.23, Аноним, 10:13, 30/07/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Вся суть чванливых nix-юзеров - кичатся отгугленным решением тривиальной проблем... весь текст скрыт [показать]
     
     
  • 6.26, АнонимХ, 11:32, 30/07/2016 [^] [ответить] [смотреть все]  
  • +7 +/
    Озвучивая такие вопросы (про отключение покета) или выражая явную безосновательную уверенность в невозможности отключения, вы явно гордитесь своей имбицильностью. Не осилить вбить в гугле "how to disable pocket in firefox"  - это должно порицаться окружающими
     
  • 6.27, Аноним, 11:33, 30/07/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Вам тут не справочная.
     
  • 6.60, iPony, 07:23, 01/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Неверно, это чуть фанатиков Высокое ЧСВ у них в крови Это не зависит от того, ... весь текст скрыт [показать]
     
  • 5.41, Аноним, 19:55, 30/07/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Вся суть Win-разработчиков Вместо предоставления возможности установить только ... весь текст скрыт [показать]
     
  • 5.69, Аноним, 19:52, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Поздравляю, ты получаешь 1 к умению ассенизатора За умение выгребать за мозилл... весь текст скрыт [показать]
     
  • 4.22, Аноним, 07:27, 30/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    А он подписанный? 😀
     
     
  • 5.57, Аноним, 02:29, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    😀 😀 😀
     
  • 3.44, paulus, 23:10, 30/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Без возможно , точно удаляются ... весь текст скрыт [показать]
     
  • 2.15, bugmenot, 01:06, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Они ещё с 47 версии отключаются через about performance... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, notmebug, 19:42, 31/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    не правда.
     
  • 1.8, Дымчатый, 00:15, 30/07/2016 [ответить] [смотреть все]  
  • –1 +/
    Прощай uBlock и uMatrix с оригинального гитхаба. Что-нибудь есть равноценное, и экономное до памяти ?
     
     
  • 2.14, bugmenot, 01:01, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Вас чем-то не устраивают те же самые uBlock Origin и uMatrix с каталога дополнен... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Дымчатый, 02:24, 30/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Я пользуюсь about addons - не находит ни uBlock origin ни uMatrix , а гугол на a... весь текст скрыт [показать]
     
     
  • 4.29, НяшМяш, 13:50, 30/07/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    В поисковой выдаче не показываются дополнения, которые уже установлены Удалите ... весь текст скрыт [показать]
     
     
  • 5.54, АнонимХ, 21:26, 31/07/2016 [^] [ответить] [смотреть все]  
  • +/
    замечательно ... весь текст скрыт [показать]
     
  • 3.70, Аноним, 20:22, 01/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Нас не устраивает что Мозилла хочет устроить walled garden и единолично решать з... весь текст скрыт [показать]
     
     
  • 4.75, Аноним, 21:43, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Лолшто Обязательная цифровая подпись дополнений в хромом появилась давно ... весь текст скрыт [показать]
     
     
  • 5.77, Аноним, 14:03, 03/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Лолшто Я только что установил git-версию uBlock просто перетащив ее в окошко хр... весь текст скрыт [показать]
     
     
  • 6.78, Аноним, 15:30, 03/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    > хромиума

    Так хрома или его огрызка хромиума?

     
  • 2.18, Crazy Alex, 01:30, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Pale Moon
     
     
  • 3.43, paulus, 23:08, 30/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Под palemoon практически уже нет нормальных дополнений, не может на прямую испол... весь текст скрыт [показать]
     
     
  • 4.50, rob pike, 10:34, 31/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Firefox агонизирует, и это тупик, выкидывание XUL не остановить https github ... весь текст скрыт [показать]
     
     
  • 5.71, Аноним, 20:23, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Во-во Если мозилла так хочет быть хромом - ну чтож, придется дебастардизировать... весь текст скрыт [показать]
     
  • 1.12, rshadow, 00:56, 30/07/2016 [ответить] [смотреть все]  
  • +4 +/
    > большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

    а будут просто их загугливать и копипастить

     
  • 1.20, KOT040188, 01:43, 30/07/2016 [ответить] [смотреть все]  
  • +4 +/
    >не поддерживают автоматическое обновление (каждый новый выпуск необходимо отслеживать и устанавливать вручную)

    Виндузятники должны страдать.

     
     
  • 2.30, Аноним, 14:00, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Точняк, при наличии лепрозориев/портов как-то фиолетово.
     
  • 1.33, Аноним, 15:46, 30/07/2016 [ответить] [смотреть все]  
  • +/
    eval not evil... весь текст скрыт [показать]
     
  • 1.45, Аноним, 01:11, 31/07/2016 [ответить] [смотреть все]  
  • +/
    Будут в ярлыке прописывать, как и стартовые страницы сейчас Им же было не лень ... весь текст скрыт [показать]
     
  • 1.48, Аноним, 07:01, 31/07/2016 [ответить] [смотреть все]  
  • +/
    А как быть с тем 1 которые скачивают исходный код с гитхабов и собирают использ... весь текст скрыт [показать]
     
     
  • 2.56, Аноним, 21:32, 31/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Пиши разрабам чтоб подписывали для гитхабов Вон EFF раздают со своего сайта под... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.73, Аноним, 20:28, 01/08/2016 [^] [ответить] [смотреть все]  
  • +/
    А зачем вляпывать разработчиков в вендорлок Это подло и некультурно, за такие в... весь текст скрыт [показать]
     
  • 1.49, Онаним, 08:20, 31/07/2016 [ответить] [смотреть все]  
  • +/
    > большинство авторов вредоносных дополнений ленивы

    LOL

     
  • 1.51, Vlad, 11:41, 31/07/2016 [ответить] [смотреть все]  
  • –3 +/
    Всё это было сделано,чтобы блокировать шпионящие дополнения А то,что шпионит сам... весь текст скрыт [показать]
     
     
  • 2.74, Аноним, 20:29, 01/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Беспокоит Авторов pale moon, inox browser, ... весь текст скрыт [показать] [показать ветку]
     
  • 1.76, Аноним, 09:22, 03/08/2016 [ответить] [смотреть все]  
  • –1 +/
    У меня дополнение на 90 висти на внешнем сервере, в браузере только пара функци... весь текст скрыт [показать]
     
  • 1.79, GrayFace, 08:00, 05/08/2016 [ответить] [смотреть все]  
  • +/
    1) Есть исправление этого бага: https://geektimes.ru/post/279132/#comment_9480372
    Красивый вариант с config'ом, наверняка, прикроют в будущем.
    2) Этот баг почти никак не увеличивает защищённость FF. Теперь вместо своего аддона малварщики могут, например, ставить Greasemonkey со своим скриптом и скрывать его (из списка аддонов и кнопку на панели) через userChrome.css или через Stylish.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor