Компания Mozilla предупредила о возникновении массовых проблем с дополнениями к Firefox. У всех пользователей браузера дополнения оказались заблокированными из-за истечения времени жизни сертификата, применяемого для формирования цифровых подписей. Кроме того, отмечается невозможность установки новых дополнений из официального каталога AMO (addons.mozilla.org).

Выход из сложившейся ситуации пока не найден, разработчики Mozilla обдумывают возможные варианты исправления и пока ограничились только общим подтверждением возникшей ситуации. Упоминается только, что дополнения стали неактивны после наступления 0 часов (UTC) 4 мая. Сертификат должен был обновиться неделю назад, но по каким-то причинам этого не произошло и данный факт остался незамеченным. Теперь через несколько минут после запуска браузера выводится предупреждение об отключении дополнений из-за проблем с цифровой подписью и дополнения исчезают из списка. Проверка цифровой подписи осуществляется раз в сутки или после запуска браузера, поэтому в давно запущенных экземплярах Firefox дополнения могут отключиться не сразу.

В качестве обходного пути для возобновления доступа к дополнениям пользователям Linux можно отключить проверку цифровой подписи через установку в about:config переменной "xpinstall.signatures.required" в значение "false". Данный метод для стабильных и бета-выпусков работает только в Linux и Android, для Windows и macOS подобная манипуляция возможна только в ночных сборках и в версии для разработчиков (Developer Edition). Как вариант также можно изменить значение системных часов на время до истечения срока действия сертификата, тогда вернётся возможность установки дополнений из каталога AMO, но уже установленная метка отключения не снимается.

Напомним, что обязательная проверка дополнений Firefox по цифровым подписям была внедрена в апреле 2016 года. По мнению Mozilla проверка по цифровой подписи позволяет блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности.

Дополнение 1: Разработчики Mozilla сообщили о начале тестирования исправления, которое в случае успешной проверки в скором времени будет доведено до пользователей (решение о применении предложенного исправления ещё не принято). До применения исправления формирование цифровых подписей для новых дополнений отключено.

Дополнение 2: В 13:50 (MSK) началось распространение исправления, на стороне пользователей возвращающего в строй отключившиеся дополнения. Исправление будет автоматически загружено через систему доставки обновлений и будет применено в течение нескольких часов.

Для ускорения доставки исправления оно также оформлено в виде проводимых среди пользователей "исследований" (для активации следует перейти в раздел "Firefox Preferences -> Privacy & Security -> Allow Firefox to install and run studies" и запустить соответствующее исследование. После применения исправления поддержку исследований можно опять.

Источник: http://www.opennet.ru/opennews/art.shtml?num=50623

2

У меня браузер работал нормально, ничего не отваливалось.

ᛈᚺ'ᚾᚷᛚᚢᛁ ᛗᚷᛚᚹ'ᚾᚨᚠᚺ ᚲᛏᚺᚢᛚᚺᚢ ᚱ'lᚷᛖᚺ ᚹᚷᚨᚺ'ᚾᚨᚷᛚ ᚠᚺᛏᚨᚷᚾ

Asus Prime B460M-K, i5-10500, Intel 630 UHD, DDR4 32 GB, SSD 500GB + HDD 2TB | Linux Mint 21.3 Cinnamon + Fedora 39 MATE (Compiz) + Windows 11 + macOS 12 Monterey

3

А  у меня вчера после полудня все дополнения отвалились. Причем не только в FF, но и в Seamonkey (да в общем-то тот же FF). При попытке установить дополнения  писал: проверьте соединение. Сегодня рано утром поставил в Настройки - Приватность и защита - галочку в чек "Разрешить ФФ устанавливать и проводить исследования". Чуть позже смотрю - дополнения на месте, да и другие стали устанавливаться. М.б. на стороне Мозиллы все исправили? bw

Oleg65 пишет:

М.б. на стороне Мозиллы все исправили?

Так и есть - https://www.theverge.com/2019/5/4/18529 … -error-fix

5

Драко Стаарн пишет:
Oleg65 пишет:

М.б. на стороне Мозиллы все исправили?

Так и есть - https://www.theverge.com/2019/5/4/18529 … -error-fix

Ну, наверное, не думаю, что отмеченный мной в Настройках чек резко изменил ситуацию на моей машине...  ag Что ж, достаточно оперативно!  ay

Уточнение из источника - https://www.opennet.ru/opennews/art.shtml?num=50623

См. два последних дополнения.

7

У меня в мобильном лисе все аддоны поотваливались, до сих пор все печально. И если бы сообщение об ошибке было вразумительное, а то оно говорит, мол, аддон поврежден, или сеть сломалась, а про устаревший сертификат ни слова. Вот и гадай, что случилось на самом деле...

Истинный hotplug - это обычная электрическая розетка: воткнул - работает, и никаких драйверов.
Slackware64-current/Xfce/Lenovo G580