В Firefox будут разрешать установку только проверенных дополнений

10vcpw · №1

Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи

Разработчики из проекта Mozilla объявили о скором внедрении практики верификации устанавливаемых в Firefox дополнений по цифровой подписи. Целью введения проверки по цифровой подписи является повышение уровня защиты от распространения вредоносных и шпионящих за пользователями дополнений. Текущая схема, основанная на чёрных списках, не обеспечивает должного уровня защиты. Так как введение обязательной проверки по цифровой подписи сопряжено с изменением процесса публикации и установки дополнений, ограничения будут введены постепенно.
Цифровая подпись будет формироваться в инфраструктуре Mozillа после прохождения дополнением стадии рецензирования. Процесс рецензирования будет проводиться с использованием автоматизированной системы проверки. Если при проверке возникнут ошибки, с которыми не согласен разработчик дополнения, он сможет потребовать ручной проверки своего дополнения. Последние версии уже размещённых в репозитории Mozilla дополнений будут подписаны автоматически.
Разработчики, распространяющие дополнения не через репозиторий Mozilla, будут вынуждены завести аккаунт на сайте каталога дополнений Mozilla и пройти процесс рецензирования, после чего смогут распространять подписанное дополнение через сторонние сайты (по желанию разработчика данное дополнение может не отображаться в каталоге Mozilla). Для дополнений, не подлежащих публичному распространению, будет предложен отдельный вариант проверки, детали которого пока не разглашаются.
Начиная с Firefox 39 планируется организовать вывод предупреждений о переходе к обязательной проверке дополнений по цифровой подписи. Далее, на протяжении двух последующих релизов Firefox, разработчикам неподписанных дополнений дадут возможность пройти стадию рецензирования, после чего работа неподписанных дополнений будет заблокирована. Блокировка неподписанных дополнений будет применяться только в релизах и beta-выпусках. В ночных сборках и Developer Edition будет оставлена возможность установки любых дополнений.
Таким образом для тестирования своих дополнений перед их публикацией разработчики будут вынуждены использовать только ночные сборки, выпуски Developer Edition или собственные модифицированные сборки. Проверка по цифровой подписи не будет распространяться на темы оформления и словари, а также не планируется к внедрению в Thunderbird и SeaMonkey.

http://www.opennet.ru/opennews/art.shtml?num=41655

Torry · №2

С одной стороны - это правильно. С другой стороны - из-за дуболомной политики разработчиков в отношении дополнений, с официального сайта разбежалось достаточно плагиностроителей......
А ещё бы вспомнить, есть ли у меня такие дополнения...

Отредактировано Torry (04-03-2015 23:12:01)

ibb1386 · №3

На сколько я знаю, уже существует такая штука "по типу проверки сертификата", но она просто предупреждает пользователя.

ibb1386 · №4

okkamas_knife

ibb1386 пишет

На сколько я знаю, уже существует такая штука "по типу проверки сертификата", но она просто предупреждает пользователя.

p.s или ты имел ввиду "блокировку" ? НЕ думаю, что они на это пойдут - "право выбора и все такое..."!

voqabuhe · №5

Появились дополнения с signed в название в about:addons и на АМО, например NoScript. Это вот оно самое, проверенное? Или чё?

zAleks · №6

voqabuhe пишет

Это вот оно самое, проверенное? Или чё?

С моими скромными познаниями в английском, signed - это расширение, имеющее цифровую подпись.. Следовательно, наверное, да - "оно самое". CTR обновилась в этом ключе, DownThemAll! и др.

EvgenWL · №7

Firefox 28 с чистым профилем при установке такого подписанного дополнения просто падает.

Tiger.711 · №8

В about:config появилась настройка xpinstall.signatures.required

10vcpw · №9

Я очень за) Как зайду к знакомым так там столько мусора, что ужас. С другой стороны, ну будут теперь вместо установки своих шпионских дополнений ставить подписанные Greasemonkey + шпионский скрипт. Легче станет? Или ещё и скрипты придется подписывать?
Но вот угрозу установки двумя кликами с поддельных сайтов они уберут.

Отредактировано 10vcpw (30-04-2015 14:58:51)

FMRUser · №10

С одной стороны - это хорошо. Но без лазейки для опытного пользователя, звучит мягко говоря не очень отимистично и сводит на нет почти все удобства использования. Ну да поживем - увидим.

voqabuhe · №11

FMRUser пишет

С одной стороны - это хорошо. Но без лазейки для опытного пользователя, звучит мягко говоря не очень отимистично и сводит на нет почти все удобства использования. Ну да поживем - увидим.

А разве это не лазейка?

Tiger.711 пишет

В about:config появилась настройка xpinstall.signatures.required

FMRUser · №12

voqabuhe
Если объединить все прочитанное в сети, то видимо не лазейка. Например:

скрытый текст

Войдите или зарегистрируйтесь, чтобы увидеть скрытый текст.

Никакого способа отключить это поведение не будет, поскольку тогда терялся бы весь смысл подписывания (сейчас вредоносный софт ставит своё расширение, а так он бы отключал защиту и всё равно ставил).

Пока думать об этом и что-то предполагать рано, время все расставит по своим местам. А вот некоторое чувство горечи и неопределенности на несколько месяцев, посеять уже сумели.

10vcpw · №13

okkamas_knife
Да, тут у мошенников куча возможностей. Погорячился я выше, просто теперь будут давать две ссылки: одну для Greasmonke подписанного, вторую для скрипта.
Ну а для рекламы стили.

К слову, можно даже поискать какой хакерский форум, особенно англоязычные, и разъяснить им как надо делать. Чтобы мозиловцы осознали бессмысленность подписок.

О кстати. Знаете что я не давно у соседа видел? У него на компе был ярлык на Firefox который на самом деле указывал на .bat файл. При запуске этот скрипт что-то менял в конфигах Firefox и только потом запускал с каким-то параметром.

О! И мы же забыли про темы! Вот темой-то облепить интерфейс можно рекламой со всех сторон!

Отредактировано 10vcpw (30-04-2015 20:30:51)

Пандёнок · №14

10vcpw пишет

Я очень за) Как зайду к знакомым так там столько мусора, что ужас.

EvgenWL пишет

Firefox 28 с чистым профилем при установке такого подписанного дополнения просто падает.

Без комментариев...

10vcpw · №15

Пандёнок пишет

Без комментариев...

Причем тут [firefox] 28? Он уже не поддерживается, и сама технология будет введена только позднее вот тогда и можно будет обсуждать её работоспособность. Сейчас там просто огрызок функционала для разработчиков.

Wave · №16

А вот что делать, если какое-то расширение патчишь чисто для себя?

turbot · №17

Wave

For extensions that will never be publicly distributed and will never leave an internal network, there will be a third option. We’ll have more details available on this in the near future.
...
Installation of unsigned extensions will still be possible on Nightly and Developer Edition, as well as special, unbranded builds of Release and Beta that will be available mainly for developers testing their extensions.

https://blog.mozilla.org/addons/2015/02 … xperience/

Wave · №18

Придётся сидеть на special, unbranded builds of Release and Beta that will be available mainly for developers testing their extensions.

turbot · №19

Ну там же сказано, что будет добавлена и другая возможность:

there will be a third option

Wave · №20

Которая наверняка предусматривает кучу телодвижений типа регистрации и проверки в их песочнице или, например, покупки спецсофта.

turbot · №21

Наверное, через какие-нибудь средства администрирования оставят возможность. Но если большинство админов похожи на нашего (т.е. ленивые задницы), боюсь, Мозилла потеряет значительную часть корпоративного сектора.

На всяк, если нас читает наш админ, то это шутка! Повторяю, это шутка!

sailars · №22

скажите мне сразу, как отключить автоматическое обновление [firefox] , чтобы я только вручную смог установить обновление? :sick:

Vladimir_S · №23

Во, сейчас заглянул на вкладку "Дополнения", так там у каждого (даже у, например, NoScript) расширения стоит "Работа <имя расширения> в Firefox Developer Edition не была проверена. Действуйте с осторожностью."
Вот спасибо! Всё, отныне запускаю браузер, забравшись под стол! :lol:

12 · №24

okkamas_knife пишет

БУ!

и че это?

Vladimir_S · №25

okkamas_knife пишет

код для Custom Buttons кнопки

А что он умеет?

Полезная информация

В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Re: В Firefox будут разрешать установку только проверенных дополнений

Board footer