Проект Mozilla продлил возможность работы с неподписанными дополнениями в Firefox

23 января 2016 года

Представители Mozilla объявили о внесении изменений в план по переходу Firefox на использование дополнений, подписанных цифровой подписью. Изначально в выпуске Firefox 44, намеченном на 26 января, ожидалось удаление опции, позволяющей отключить введённые в Firefox 43 ограничения по работе только с подписанными дополнениями. Полный запрет неподписанных дополнений решено перенести на 19 апреля, т.е. опция "xpinstall.signatures.required" будет удалена из about:config в Firefox 46.

Решение обусловлено желанием дать разработчикам дополнений ещё немного времени на внедрение цифровых подписей и намерением добавить в Firefox 45 режим временной установки дополнений, позволяющий установить любое неподписанное дополнение из локального XPI-файла с активностью данного дополнения только в рамках текущего сеанса (после первого перезапуска браузера временное дополнение автоматически удалено).

В объявлении Mozilla также упомянуто решение оставить опцию для отключения блокирования неподписанных дополнений в ESR-выпусках с длительным сроком поддержки. Таким образом, в обозримом будущем опция "xpinstall.signatures.required" будет присутствовать в ночных сборках, выпусках для разработчиков и ESR-редакциях. Также подтверждено формирование обезличенных сборок релизов и бета-выпусков Firefox, которые будут распространяться параллельно с официальными версиями и не требовать обязательного использования подписанных дополнений. Подобные сборки будут формироваться начиная с выпуска Firefox 46.

Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Проект Mozilla продлил возможность работы с неподписанными дополнениями в Firefox», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.