1

Все дополнения к Firefox отключены из-за истечения срока сертификата Mozilla (исправлено)
04.05.2019 08:31
Компания Mozilla предупредила о возникновении массовых проблем с дополнениями к Firefox. У всех пользователей браузера дополнения оказались заблокированными из-за истечения времени жизни сертификата, применяемого для формирования цифровых подписей. Кроме того, отмечается невозможность установки новых дополнений из официального каталога AMO (addons.mozilla.org).

Выход из сложившейся ситуации пока не найден, разработчики Mozilla обдумывают возможные варианты исправления и пока ограничились только общим подтверждением возникшей ситуации. Упоминается только, что дополнения стали неактивны после наступления 0 часов (UTC) 4 мая. Сертификат должен был обновиться неделю назад, но по каким-то причинам этого не произошло и данный факт остался незамеченным. Теперь через несколько минут после запуска браузера выводится предупреждение об отключении дополнений из-за проблем с цифровой подписью и дополнения исчезают из списка. Проверка цифровой подписи осуществляется раз в сутки или после запуска браузера, поэтому в давно запущенных экземплярах Firefox дополнения могут отключиться не сразу.


В качестве обходного пути для возобновления доступа к дополнениям пользователям Linux можно отключить проверку цифровой подписи через установку в about:config переменной "xpinstall.signatures.required" в значение "false". Данный метод для стабильных и бета-выпусков работает только в Linux и Android, для Windows и macOS подобная манипуляция возможна только в ночных сборках и в версии для разработчиков (Developer Edition). Как вариант также можно изменить значение системных часов на время до истечения срока действия сертификата, тогда вернётся возможность установки дополнений из каталога AMO, но уже установленная метка отключения не снимается.

Напомним, что обязательная проверка дополнений Firefox по цифровым подписям была внедрена в апреле 2016 года. По мнению Mozilla проверка по цифровой подписи позволяет блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

Дополнение 1: Разработчики Mozilla сообщили о начале тестирования исправления, которое в случае успешной проверки в скором времени будет доведено до пользователей (решение о применении предложенного исправления ещё не принято). До применения исправления формирование цифровых подписей для новых дополнений отключено.

Дополнение 2: В 13:50 (MSK) началось распространение исправления, на стороне пользователей возвращающего в строй отключившиеся дополнения. Исправление будет автоматически загружено и применено в течение нескольких часов. Для Firefox ESR и Firefox для Android исправление пока не сформировано. Также могут быть проблемы с доставкой исправления в сборки Firefox, установленные из пакетов в дистрибутивах.

Для ускорения доставки исправление оформлено в виде проводимых среди пользователей "исследований" (следует перейти в раздел "Firefox Preferences -> Privacy & Security -> Allow Firefox to install and run studies" и убедиться, что поддержка исследований включена, а также в "about:studies" проверить, что активно исследование hotfix-reset-xpi-verification-timestamp-1548973. После применения исправления поддержку исследований можно опять отключить. В дальнейшем планируется подготовить и обычное обновление, распространяемое через штатную систему доставки обновлений.

Источник: https://www.opennet.ru/opennews/art.shtml?num=50623
(opennet.ru, основная лента)

Спасибо сказали: alex_q_20001

2

Никогда не думал что придётся отказаться от мозилы, но её политика "обновлений и улучшений" такова, что приходится отказываться от самых необходимых инструментов работы, а такой "хОкей" нам не нужен.
Да, всё когда-нибудь кончается, помянем drinks

3

Похоже именно из за этого на малине ни одно дополнение не подключается при синхронизации у меня
Печально, но может поправят ситуацию

Обычный юзер
Mageia 8 x86_64 Plasma

4

В России вступили в силу новые правила идентификации в мессенджерах (РИА НОВОСТИ). То-то я смотрю отовсюду полезла реклама протезов и ипотечных кредитов. Похоже, патриоты таки начали прорыв. В ютубе ролики открываются только для граждан из Кампучии. big_smile

5

Тоже подумываю послать лису подальше. Ну сколько можно - несколько раз подряд поломали все дополнения, то форматы закладок поменяют, то ещё что-то улучшат. Много лет пользовался профилем, переносил его из старой системы в новую, всё работало. Недавно пришлось сносить профиль - мозила становилась колом на ровном месте.

Acer EX2540 i3-6006U 16Gb DDR4
Mageia 9 mate

6

kuguar⇓ пишет:

Много лет пользовался профилем, переносил его из старой системы в новую

У меня просто синхронизация и не каких мучений и переносов, запустил лису, авторизовался и всё

Обычный юзер
Mageia 8 x86_64 Plasma

7

BoDun⇓ пишет:

Печально, но может поправят ситуацию

Поправить то поправили, расширения заработали, но ...

algri14⇓ пишет:

Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

Получается, что политика безопасности мозилы сводится к защите от тупого и ленивого юзер-хакера, ну а всем остальным можно делать всё что угодно, это полный дурдом.
Второе, "улучшения" стали просто бесить, такое ощущение, что и туда в руководство пришёл очередной манагер, который ничерта ни в чём не понимает, но зато решил всюду вставлять рюшечки.
Найти замену мозиле с наскока не так то просто, ведь многие привыкли к ней, но когда она меняется до неузнаваемости, то это уже не мозила.
Буду искать замену, идут они лесом вместе со своими улучшениями.

8

algri14⇓ пишет:

и туда в руководство пришёл очередной манагер, который ничерта ни в чём не понимает, но зато решил всюду вставлять рюшечки.

Лояльный технократ... big_smile

algri14⇓ пишет:

Буду искать замену, идут они лесом вместе со своими улучшениями.

Есть же Chromium. Классный брОвзер. Чем он не угодил? И x32 есть + поддерживается... Легче и быстрее, чем Фокс... good

9

Вот и я поймал сие чудо smile Все дополнения что у меня были стали недоступны. Лично для меня пошли они в *опу с такими сюрпризами. Безопасность должна быть безопасностью а не параноей.
Вернулся снова на Cromium.

Проще погасить свет чем разогнать тьму!

10

alex_q_2000⇓ пишет:

Есть же Chromium.

Да, есть, но уж больно любит он о пользователе всё подряд собирать, за неимением лучшего, пока пользуюсь им.

sevo44⇓ пишет:

Все дополнения что у меня были стали недоступны.

Сегодня днём вроде бы исправили, но надолго ли, опять до очередного "улучшения"

11

algri14⇓ пишет:

Да, есть, но уж больно любит он о пользователе всё подряд собирать...

Тогда LYNX! Юниксвей онли. yikes

12

algri14⇓ пишет:

Сегодня днём вроде бы исправили, но надолго ли, опять до очередного "улучшения"

У меня не исправилась ситуация. Даже смотреть больше не буду. Для меня это уже 3 последний сюрприз от Firefox больше им пользоваться не буду.

Проще погасить свет чем разогнать тьму!

13

По слухам в мозилле уже давно есть уникальный идентификатор. Интересно для чего он нужен, если не для сбора инфы? Так что безопасность и приватность в мозилле уже давно мифическая. В синхронизацию я тоже не верю. Для чего я левому дяде буду давать все свои закладки и пароли?

Acer EX2540 i3-6006U 16Gb DDR4
Mageia 9 mate

14

kuguar⇓ пишет:

Для чего я левому дяде буду давать все свои закладки и пароли?

Вот вот smile Давно использую Nextcloud и там всё храню. Все телефоны с андроидом адресную книгу берут с Nextcloud.

Проще погасить свет чем разогнать тьму!

15

algri14⇓ пишет:

Да, есть, но уж больно любит он о пользователе всё подряд собирать

шёл 2019 год, а пользователи еще верят, что им есть чего скрывать и они могут это скрывать))

ROSA Desktop Fresh R11.1 EE 2016.1 Desktop 64-бит

16

kuguar⇓ пишет:

мозилле уже давно есть уникальный идентификатор

для того, чтобы отличать людей от ботов и еще нескольких полезных фич. Для слежки за Вами идентификаторы браузеров не нужны вовсе.

kuguar⇓ пишет:

В синхронизацию я тоже не верю

А она есть.

kuguar⇓ пишет:

Для чего я левому дяде буду давать все свои закладки и пароли?

Можно подумать, что браузеру нужна синхронизация обязательно, чтобы "дяде" слить Ваши закладки и пароли... Вообще-то они хранятся в зашифрованном виде, и даже "дядя" их читать не умеет, так как шифрование происходит на стороне клиента, генерированным же клиентом ключем, который и остается на стороне клиента. А вообще протокол синхронизации Firefox хорошо описан, если есть у кого паранойя по этому поводу.
https://github.com/mozilla/fxa-auth-ser … w-protocol
Есть там, конечно свои недостатки, но они не связаны именно с "умышленным" воровством Ваших паролей.

А вообще раздули из мухи слона. Все ошибаются иногда.

ROSA Desktop Fresh R11.1 EE 2016.1 Desktop 64-бит

17 (2019-05-06 11:22:26 отредактировано kuguar)

Если у тебя паранойя, то это не значит что за тобой никто не следит smile
А если по делу - то у меня сегодня работа наполовину парализована, именно из-за дополнений, которые в мозиле отвалились.
А ещё многие пользователи в моей организации работают с госпорталами через CryptoPro Fox, который Mozilla ESR с дополнениями. У них тоже веселуха, уже весь мозг мне склевали.

Acer EX2540 i3-6006U 16Gb DDR4
Mageia 9 mate

18

algri14⇓ пишет:

а всем остальным можно делать всё что угодно

в данном случае "все остальные" тоже идут лесом. Безопасность должна быть безопасной. Все обходные пути, которые предусмотрены (штатно или не штатно) для обхода безопасности - на свой страх и риск и только на совести пользователя. Если же нужно заблочить кастомную настройку ради безопасности браузера, то ее нужно заблочить. При этом могут возникнуть подобные нынешней ситуации - это предсказуемо и неизбежно, но оправдано.

ROSA Desktop Fresh R11.1 EE 2016.1 Desktop 64-бит

19

kuguar⇓ пишет:

А ещё многие пользователи в моей организации работают с госпорталами через CryptoPro Fox, который Mozilla ESR с дополнениями. У них тоже веселуха, уже весь мозг мне склевали.

Интернет Эксплорер для работы с госпорталами - проблем нет. Хотя бы как запасной вариант у каждого буха на рабочем месте он должен быть настроен.

ROSA Desktop Fresh R11.1 EE 2016.1 Desktop 64-бит

20

kuguar⇓ пишет:

Если у тебя паранойя, то это не значит что за тобой никто не следит

следят) всегда следили) всегда будут следить) Можете уйти в тайгу жить без цифровых устройств - там тоже будут следить, но интересовать  будет только ваша калорийность)

ROSA Desktop Fresh R11.1 EE 2016.1 Desktop 64-бит

21

alex_q_2000⇓ пишет:

В России вступили в силу новые правила идентификации в мессенджерах (РИА НОВОСТИ). То-то я смотрю отовсюду полезла реклама протезов и ипотечных кредитов. Похоже, патриоты таки начали прорыв. В ютубе ролики открываются только для граждан из Кампучии.

Да ничего не изменилось. Просто теперь бумажка есть, которой могут при случае ткнуть в нос.

ROSA Desktop Fresh R11.1 EE 2016.1 Desktop 64-бит

22

qupzilla, falkon

Разработчик, мейнтейнер, переводчик, по всем вопросам.

23

AlexL⇓ пишет:

falkon

если только дома в контактике с него сидеть... больше он ни на что серьезное не способен, в отличие от того же Firefox

ROSA Desktop Fresh R11.1 EE 2016.1 Desktop 64-бит

24 (2019-05-11 19:42:11 отредактировано ingvaro)

algri14⇓ пишет:

Все дополнения к Firefox отключены из-за истечения срока сертификата Mozilla (исправлено)
04.05.2019 08:31

Как раз на днях сделал свежую сборку модульной Магеи 7 betta3  и решил проверить установку обновлений.
Установил Google-переводчик и блокировщик рекламы Ghostery
Все установилось и работает

algri14⇓ пишет:

В качестве обходного пути для возобновления доступа к дополнениям пользователям Linux можно отключить проверку цифровой подписи через установку в about:config переменной "xpinstall.signatures.required" в значение "false". Данный метод для стабильных и бета-выпусков работает только в Linux и Android, для Windows и macOS подобная манипуляция возможна только в ночных сборках и в версии для разработчиков (Developer Edition). Как вариант также можно изменить значение системных часов на время до истечения срока действия сертификата, тогда вернётся возможность установки дополнений из каталога AMO, но уже установленная метка отключения не снимается.

Ничем этим не занимался.

25

Баг был в Firefox'е 66.0.3. Mozilla выпустила Firefox 66.0.4 с исправлением, а потом ещё и Firefox 66.0.5 (ещё во вторник). Этот Firefox 66.0.5 сейчас и находится в репозитории 7-й Магейи.

Mageia 8 x86_64 / FVWM