Июл 29, 2016 - 0 Comments - Интересно -

Доступны сборки Firefox без обязательной проверки цифровой подписи дополнений

29.07.2016 23:04 Доступны сборки Firefox без обязательной проверки цифровой подписи дополнений

Разработчики проекта Mozilla объявили о начале формирования обезличенных сборок Firefox, поставляемых без блокировки работы дополнений, не имеющих цифровой подписи. Сборки доступны только для локали en-US, не поддерживают автоматическое обновление (каждый новый выпуск необходимо отслеживать и устанавливать вручную) и поставляются без элементов брендинга, т.е. без использования логотипа и имени Firefox.

В релизе Firefox 48, который состоится 2 августа, из настроек about:config будет убрана опция «xpinstall.signatures.required», позволявшая отключить проверку дополнений по цифровой подписи. Таким образом, начиная с Firefox 48 все установленные дополнения должны быть подписаны их создателями и обойти данное ограничение можно только установив представленную выше отдельную обезличенную сборку или воспользовавшись режимом временной установки дополнений, позволяющим установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение будет автоматически удалено).

Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

  1. Главная ссылка к новости (https://blog.mozilla.org/addon…)
  2. OpenNews: Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи
  3. OpenNews: Проект Mozilla продлил возможность работы с неподписанными дополнениями в Firefox
  4. OpenNews: В Firefox 45 появится поддержка временной установки неподписанных дополнений
  5. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
  6. OpenNews: Firefox переходит на новый API разработки дополнений, совместимый с API для Chrome
Тип: К сведению
Ключевые слова: mozilla, firefox
При перепечатке указание ссылки на opennet.ru обязательно

 
 
+1 +/
Затем, что если человек ставит себе такую сборку, то он сознаёт, что делает и никаких претензий к Mozilla иметь не будет, если подцепит заразу.

А те, кто не хочет разбираться, почему у них реклама в браузере и начинает сразу гнать на браузер, продолжат пользоваться Firefox.

 
+1 +/
>большинство авторов большинство авторов вредоносных дополнений ленивы

Ага, вот кто-кто а именно авторы «вредоносных дополнений» — лентяи. Именно лень толкает их к раработке (очевидно на безвозмездной основе) кучи кода. Всё именно так, как нафантазировали мозилловцы в своих эротических снах. Тьфу!

 
+/
А слабо им было по умолчанию продолжить распространять версию с возможностью отключения проверки дополнений, а в качестве опции предложить  сборки с вырезанной настройкой? Всё равно вся их верификация вредоносных дополнений как слону дробина и обходится влёт.
 
 
+/
> Ну да, а сами при этом в каждый релиз добавляют новое неотключаемое
> дополненние, каждое из которых следит за пользователями.

За что я не люблю опеннет — за то, что тут каждый второй коммент — буллщит. Сгоняй в about:performance и отключи там любое дополнение, даже изкоробочное.

 
 
 
 
+/
> Для особо ленивых даже аддон есть которое отключает все эти аддоны.

Вся суть Win-юзеров. Ставить аддон, вместо того, чтобы сходить на about:performance и отключить там эти дополнения.

 
 
+/
> Прощай uBlock и uMatrix с оригинального гитхаба. Что-нибудь есть равноценное, и экономное
> до памяти ?

Вас чем-то не устраивают те же самые uBlock Origin и uMatrix с каталога дополнений? Они там обновлены 22 и 24 июня этого года.

 
+/
> большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

а будут просто их загугливать и копипастить

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Человек ? *