Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи
Разработчики из проекта Mozilla объявили о скором внедрении практики верификации устанавливаемых в Firefox дополнений по цифровой подписи. Целью введения проверки по цифровой подписи является повышение уровня защиты от распространения вредоносных и шпионящих за пользователями дополнений. Текущая схема, основанная на чёрных списках, не обеспечивает должного уровня защиты. Так как введение обязательной проверки по цифровой подписи сопряжено с изменением процесса публикации и установки дополнений, ограничения будут введены постепенно.
Цифровая подпись будет формироваться в инфраструктуре Mozillа после прохождения дополнением стадии рецензирования. Процесс рецензирования будет проводиться с использованием автоматизированной системы проверки. Если при проверке возникнут ошибки, с которыми не согласен разработчик дополнения, он сможет потребовать ручной проверки своего дополнения. Последние версии уже размещённых в репозитории Mozilla дополнений будут подписаны автоматически.
Разработчики, распространяющие дополнения не через репозиторий Mozilla, будут вынуждены завести аккаунт на сайте каталога дополнений Mozilla и пройти процесс рецензирования, после чего смогут распространять подписанное дополнение через сторонние сайты (по желанию разработчика данное дополнение может не отображаться в каталоге Mozilla). Для дополнений, не подлежащих публичному распространению, будет предложен отдельный вариант проверки, детали которого пока не разглашаются.
Начиная с Firefox 39 планируется организовать вывод предупреждений о переходе к обязательной проверке дополнений по цифровой подписи. Далее, на протяжении двух последующих релизов Firefox, разработчикам неподписанных дополнений дадут возможность пройти стадию рецензирования, после чего работа неподписанных дополнений будет заблокирована. Блокировка неподписанных дополнений будет применяться только в релизах и beta-выпусках. В ночных сборках и Developer Edition будет оставлена возможность установки любых дополнений.
Таким образом для тестирования своих дополнений перед их публикацией разработчики будут вынуждены использовать только ночные сборки, выпуски Developer Edition или собственные модифицированные сборки. Проверка по цифровой подписи не будет распространяться на темы оформления и словари, а также не планируется к внедрению в Thunderbird и SeaMonkey.
С одной стороны - это правильно. С другой стороны - из-за дуболомной политики разработчиков в отношении дополнений, с официального сайта разбежалось достаточно плагиностроителей......
А ещё бы вспомнить, есть ли у меня такие дополнения...
На сколько я знаю, уже существует такая штука "по типу проверки сертификата", но она просто предупреждает пользователя.
okkamas_knife
На сколько я знаю, уже существует такая штука "по типу проверки сертификата", но она просто предупреждает пользователя.
p.s или ты имел ввиду "блокировку" ? НЕ думаю, что они на это пойдут - "право выбора и все такое..."!
Появились дополнения с signed в название в about:addons и на АМО, например NoScript. Это вот оно самое, проверенное? Или чё?
Это вот оно самое, проверенное? Или чё?
С моими скромными познаниями в английском, signed - это расширение, имеющее цифровую подпись.. 
Следовательно, наверное, да - "оно самое". CTR обновилась в этом ключе, DownThemAll! и др.
Firefox 28 с чистым профилем при установке такого подписанного дополнения просто падает.
В about:config появилась настройка xpinstall.signatures.required
Я очень за) Как зайду к знакомым так там столько мусора, что ужас. С другой стороны, ну будут теперь вместо установки своих шпионских дополнений ставить подписанные Greasemonkey + шпионский скрипт. Легче станет? Или ещё и скрипты придется подписывать?
Но вот угрозу установки двумя кликами с поддельных сайтов они уберут.
С одной стороны - это хорошо. Но без лазейки для опытного пользователя, звучит мягко говоря не очень отимистично и сводит на нет почти все удобства использования. Ну да поживем - увидим.
С одной стороны - это хорошо. Но без лазейки для опытного пользователя, звучит мягко говоря не очень отимистично и сводит на нет почти все удобства использования. Ну да поживем - увидим.
А разве это не лазейка?
В about:config появилась настройка xpinstall.signatures.required
voqabuhe
Если объединить все прочитанное в сети, то видимо не лазейка. Например:
Никакого способа отключить это поведение не будет, поскольку тогда терялся бы весь смысл подписывания (сейчас вредоносный софт ставит своё расширение, а так он бы отключал защиту и всё равно ставил).
Пока думать об этом и что-то предполагать рано, время все расставит по своим местам. А вот некоторое чувство горечи и неопределенности на несколько месяцев, посеять уже сумели.
okkamas_knife
Да, тут у мошенников куча возможностей. Погорячился я выше, просто теперь будут давать две ссылки: одну для Greasmonke подписанного, вторую для скрипта. 
Ну а для рекламы стили.
К слову, можно даже поискать какой хакерский форум, особенно англоязычные, и разъяснить им как надо делать. 
Чтобы мозиловцы осознали бессмысленность подписок.
О кстати. Знаете что я не давно у соседа видел? У него на компе был ярлык на Firefox который на самом деле указывал на .bat файл. При запуске этот скрипт что-то менял в конфигах Firefox и только потом запускал с каким-то параметром.
О! И мы же забыли про темы! Вот темой-то облепить интерфейс можно рекламой со всех сторон!
Я очень за) Как зайду к знакомым так там столько мусора, что ужас.
Firefox 28 с чистым профилем при установке такого подписанного дополнения просто падает.
Без комментариев...
Без комментариев...
Причем тут ![[firefox]](img/browsers/firefox.png "firefox")
28? Он уже не поддерживается, и сама технология будет введена только позднее вот тогда и можно будет обсуждать её работоспособность. Сейчас там просто огрызок функционала для разработчиков.
А вот что делать, если какое-то расширение патчишь чисто для себя?
Wave
For extensions that will never be publicly distributed and will never leave an internal network, there will be a third option. We’ll have more details available on this in the near future.
...
Installation of unsigned extensions will still be possible on Nightly and Developer Edition, as well as special, unbranded builds of Release and Beta that will be available mainly for developers testing their extensions.
Придётся сидеть на special, unbranded builds of Release and Beta that will be available mainly for developers testing their extensions.
Ну там же сказано, что будет добавлена и другая возможность:
there will be a third option
Которая наверняка предусматривает кучу телодвижений типа регистрации и проверки в их песочнице или, например, покупки спецсофта.
Наверное, через какие-нибудь средства администрирования оставят возможность. Но если большинство админов похожи на нашего (т.е. ленивые задницы), боюсь, Мозилла потеряет значительную часть корпоративного сектора.
На всяк, если нас читает наш админ, то это шутка! Повторяю, это шутка! 
скажите мне сразу, как отключить автоматическое обновление , чтобы я только вручную смог установить обновление?
Во, сейчас заглянул на вкладку "Дополнения", так там у каждого (даже у, например, NoScript) расширения стоит "Работа <имя расширения> в Firefox Developer Edition не была проверена. Действуйте с осторожностью."
Вот спасибо! Всё, отныне запускаю браузер, забравшись под стол! 
БУ!
и че это?
код для Custom Buttons кнопки
А что он умеет?
продлили необходимость подписи аддонов до Firefox 43 (ориентировочная дата выхода: 15 декабря 2015)
https://blog.mozilla.org/addons/2015/09 … n-signing/
Значит ли это что удалят все старые версии расширений которые брошены и для старых версий фокса ?
Надо выкачивать ?
Значит ли это что например в каком нибудь расширении нельзя будет даже иконку заменить на другую ?
Всё это смердит тоталитарным строем для хомячков и желанием убрать ненужные мозиле расширения которые выполняют невыгодные мозиле функции. И всё это грязно прикрывается "безопасностью "
Это очень похоже на то что делает г_внософт (микроософт) с виндовс xp , скайпом и тп.
Значит ли это что удалят все старые версии расширений которые брошены и для старых версий фокса?
Нет, на AMO все аддоны останутся, наиболее старые пометятся как несовместимые. Последняя совместимая версия аддона автоматом становится signed.