Сроки подписывания сдвинулись на две версии
В браузере Firefox собираются ввести обязательность подписи расширений. Сразу бросать лягяшку в кипяток не будут, варить будут постепенно. Этот процесс уже начался. В текущей 40 версии браузера неподписанные расширения работают без каких-либо ограничений. Но в списке расширений они отображаются с предупреждением об отсутствии подписи. В одной из следующих версий введут отключаемую обязательность подписи расширений. А в следующей за ней версии избавятся и от опции xpinstall.signatures.required. Об этом процессе было известно и ранее. Теперь же Mozilla приняла решение сдвинуть сроки на две версии вперёд.Итак, если верить обсуждениям разработчиков на баг-трэкере и обновлённым страницам вики-сайта, новое расписание выглядит следующим образом:
- 40 версия (текущая). Расширения без подписи можно устанавливать и использовать без ограничений. Единственным минусом является наличие предупреждения в списке расширений.
- 41 версия. Выходит 22 сентября. То же.
- 42 версия. Выходит 3 ноября. То же.
- 43 версия. Выходит 15 декабря. Расширения требуют обязательную подпись для установки. Но будет способ обойти: достаточно ввести в адресную строку
about:config, согласиться с тем, что действия пользователя могут быть небезопасны, найти логическую переменнуюxpinstall.signatures.requiredи изменить её наfalse. - 44 версия. Выходит 26 января 2016 года. Возможность отключить обязательность подписи отсутствует.
Старое, недействительное расписание выглядело чуть более радикально:
- 40 версия (текущая). Предупреждения о неподписанных расширениях.
- 41 версия. Выходит 22 сентября. Отключаемая обязательность.
- 42 версия. Выходит 3 ноября. Обязательность подписи не отключается.
От него отказались. Обязательность подписи сдвинулась с 3 ноября на 26 января и на две версии Firefox вперёд.
В ночных сборках и в версии для разработчиков возможность отключить обязательность подписи останется специально для возможности тестировать расширения. Также будут созданы специальные версии браузера только с английским интерфейсом без брэндирования и имени Firefox с возможностью отключения обязательности подписи. Подпись будет требоваться только расширениям второго типа. Цифровая подпись не требуется для словарей, тем оформления и плагинов. Новинка коснётся только браузера Firefox. Руководители проектов Thunderbird, Seamonkey, Palemoon и т. д. примут решение самостоятельно. Но в Mozilla говорят, что о подобных намерениях им ничего неизвестно.
Mozilla заявляет, что необходимость получения подписи не означает цензуру, а лишь направлена на соблюдение уже существующих правил. Возможность подписи дополнений для Firefox появилась в начале года. В Google Chrome с 2014 года расширения можно устанавливать только из магазина Chrome Web Store.
Если разработчик загрузил своё расширение на addons.mozilla.org (AMO), то от него не потребуется никаких специальных действий — Mozilla подпишет расширение самостоятельно. Новые версии будут получать подпись после прохождения проверки. Создателям отсутствующих в каталоге AMO расширений придётся регистрироваться на AMO и выгружать файл, выбрав опцию, которая отключит публикацию расширения. После прохождения автоматической проверки файл будет выслан разработчику в подписанном виде. При отрицательном решении автоматической системы можно будет запросить ручную проверку, которая займёт менее двух суток.
Комментарии (11)
Suor
13.09.2015 14:46Понятно, что делается это для безопасности, но в результате мы получаем цензуру, и заверения о том, что она будет использоваться только в благих целях этого никак не компенсируют.
Alexufo
13.09.2015 16:42Ну с не налогов же это делают этот продукт. За что их упрекать в цензуре. Хотят зарубить продукт — всетаки их право.
Проблема в том, что у нас лиса используется с расширением не предназначенным для публикации. Для себя делаем, и тут эти подписи вперлись вообще не к месту!
И судя по их блогу они знают об этом но не знают что делать.
VEG
13.09.2015 17:48+1Варианты решения «проблемы»:
1. Использовать Developer Edition.
2. Использовать сборки без Firefox в названии (обещают делать такие).
3. Отсылать в Mozilla на подписку без публикации в AMO (обещают делать это быстро, в течение суток).Alexufo
13.09.2015 18:08+1как пользователь беты скажу, что не паблик версии бывает глючат на сайтах, а именно речь про тайвебовскую админку и почту. Поэтому вариант не очень.
Отсылать на подпись тоже не вариант, так как правки бывают очень срочные и часто правятся сразу за компом клиента а после уже накатываются в главный дистрибутив.
А вот со сборками без Firefox вариант интереснее.
Хром отпадал в силу дебилизации способа запуска тупого exe с расширения.
Ununtrium
В чем проблема отключаемой обязательности? Почему нельзя оставить?
vorphalack
в том что если это можно будет отключить руками — авторы всей этой ад-мал-блотвари и вирусни научатся отключать это без пользовательского подтверждения.
Ezhyg
Параметр в настройках есть прямо сейчас и достаточно давно. Точнее их там даже несколько — запрет установки без подписи и запрет установки с непроверенной подписью (ну и источники установки и т.п.).
KOLANICH
Авторы малвари могут и бинарник пропатчить. Можно было сделать отключаемым с привелегиями админа (например, создав глобальный файлик разрешений, куда можно вручную прописать публичные ключи доверенных издателей/магазинов или вообще глобальное разрешение). Просто целью этого была защита пользователей от расширений, неугодных определённым трёх- и четырёхсимвольным конторам.
Выпилят из релиза и беты, а серфить авророй — подвергать себя повышенной опасности нарваться на эксплоить уязвимости нулевого дня.
VEG
Если мальварь ставится вместе с каким-то левым софтом и т.д. — админские права у установщика уже есть. Плюс многие неопытные пользователи выключают UAC и обновления.
Это лишь ваша догадка, не подтверждённая фактами.
Без обоснования — это также пустые слова. 0day уязвимости с равным успехом могут применяться как к обычным релизным версиям, так и к Developer Edition. Это вытекает из их определения.