В 41 версии обязательность подписи будет отключаемой, а в 42 эту опцию уберут совсем


Mozilla вводит обязательное получение подписи для расширений браузера Firefox. Подпись можно будет получить на сайте addons.mozilla.org (AMO). Все расширения должны иметь цифровую подпись вне зависимости от ресурса, где они находятся. Расширения можно будет продолжать устанавливать из сторонних источников, нужна будет лишь подпись.

Решение будет вводиться поэтапно. Следующая версия Firefox (40) начнёт предупреждать об отсутствии подписи у расширений, но не будет как-то ограничивать действия пользователя. В 41 версии по умолчанию можно будет установить только расширения с подписью. Опцию можно будет отключить изменением параметра xpinstall.signatures.required в окне about:config. В бета и релизной версиях Firefox 42 отключить обязательность подписи расширений будет невозможно.

В ночных сборках и в версии для разработчиков возможность отключить обязательность подписи останется. Также Mozilla указывает, что будут созданы специальные версии браузера только с английским интерфейсом без брэндирования и имени Firefox с возможностью отключения обязательности подписи. Подпись будет требоваться только расширениям второго типа. Цифровая подпись не требуется для словарей, тем оформления и плагинов. Новинка коснётся только браузера Firefox. Руководители проектов Thunderbird, Seamonkey, Palemoon и т. д. примут решение самостоятельно. Но в Mozilla говорят, что о подобных намерениях им ничего неизвестно.

Если разработчик загрузил своё расширение на AMO, то от не не потребуется никаких специальных действий — Mozilla подпишет расширение самостоятельно. Новые версии будут получать подпись после прохождения проверки. Создателям отсутствующих в каталоге AMO расширений придётся регистрироваться на AMO и выгружать файл, выбрав опцию, которая отключит публикацию расширения. После прохождения автоматической проверки файл будет выслан разработчику в подписанном виде. При отрицательном решении автоматической системы можно будет запросить ручную проверку, которая займёт менее двух суток.

Mozilla заявляет, что этот процесс не означает цензуру, а лишь направлен на соблюдение уже существующих правил. Возможность подписи дополнений для Firefox появилась в начале года. В Google Chrome с 2014 года расширения можно устанавливать только из магазина Chrome Web Store.
Фотография самки малой панды Кинта в зоопарке Ногеяма, CC-BY 2.0.

Комментарии (55)



  1. vxsw
    11.08.2015 15:33
    -9

    А не пора бы послать нахрен этих узурпаторов и take back the web? Мозилла заигралась вслед за гуглом.


    1. Aclz
      11.08.2015 17:41
      +10

      По мне так Мозилла не заигралась, а подстраивается под средний контингент сети, который качает и ставит всё, что видит на экране. При этом предоставлены все возможности обхода для тестирования своих поделий (версия для разработчиков без ограничений и разбрендированная версия как основа для корпоративных сборок).

      Вообще странно выглядят реплики здесь. Типа такого: «у меня пароль на сервис Х — 30 символов, но за то, что ввели запрет на пустой пароль — пользоваться этим сервисом не буду, ибо проявление несвободы».


      1. vxsw
        11.08.2015 18:05
        -9

        Вот именно для проекта с открытым исходным кодом — стыдно такой контингент дополнительно геттоизировать. С 42 версии лиса фактически превращается в новый хром и должна быть подвергнута бойкоту.


        1. b3nd3r
          11.08.2015 18:33
          +7

          Возьмите исходный код, скомпилируйте и пользуйтесь как вам угодно.


    1. amarao
      12.08.2015 23:11
      +1

      В отличие от всех остальных в Firefox легко пойти и сделать себе такой файрфокс, который хочется. apt-get build-dep firefox; apt-get source firefox — и в бой.


  1. vxsw
    11.08.2015 15:37
    -8

    Также Mozilla указывает, что будут созданы специальные версии браузера только с английским интерфейсом без брэндирования и имени Firefox с возможностью отключения обязательности подписи.
    Вот это и будем юзать, а лису — в биореактор. R.I.P.


    1. vilky
      12.08.2015 10:40

      Есть же версии лисы «без брендирования и имени», причём именно с нонконформистским вектором развития: TorBrowser и PirateBrowser.


  1. woddy
    11.08.2015 15:38
    +1

    Не зря я отключил обновления, еще на 20й версии.
    Ненавижу когда за меня решают как должно работать и выглядеть. Еще на 3.х версии я настроил интерфейс под себя, расположение кнопок,… А тут мне суют «новый модный молодежный» интерфейс. Потом «новый менеджер загрузок» пытались впарить, ломая при этом историю загрузок.


    1. Revertis
      11.08.2015 15:58
      +13

      А на безопасность вам накласть? Вон, недавно была уязвимость, которая с помощью JS отсылала файлы пользователя к себе на серваки, вам пофиг на такое?

      П.С.: У меня тоже был большущий и долгий баттхерт по поводу редизайна и отказа старых тем, но пришлось выбирать :(


      1. woddy
        11.08.2015 16:11
        -6

        Вот мне тоже пришлось выбирать. Между безопасностью и удобством выбрал удобство. Да, обновления виндоус тоже отключены, после навязчивого предложения «обновиться бесплатно без СМС на виндоус 10».
        По помойным сайтам не хожу, т.е. опасность может возникнуть только если вредоносный код окажется, например, на хабре, что маловероятно.

        Бэкапы регулярно делаю, пароли платежных систем храню в голове.


        1. b3nd3r
          11.08.2015 20:18

          Обновления на Windows 10 отключаются, скрываются и больше не показываются. А остальные можно получать без проблем.


      1. atomlib
        11.08.2015 17:19
        +5

        1. b3nd3r
          11.08.2015 20:20
          +4

          Хорошее расширение, вообще не понимаю в чем проблема у тех, кому новый интерфейс не нравится, хотя всегда найдется какой-нибудь консервативный человек, которму ничего не меняй и все сделай по-старому.


        1. Revertis
          12.08.2015 11:10
          +1

          Я пользовался вот этой темой: addons.mozilla.org/ru/firefox/addon/chromifox-basic — самое лаконичное и приятное, что было, но теперь ничего такого нет.


          1. VEG
            12.08.2015 11:15
            +1

            Я не пробовал (пользуюсь стандартной темой плюс кое-какие фиксы), но по вашей ссылке рекомендуют использовать addons.mozilla.org/ru/firefox/addon/fxchrome, и оно совместимо с последним Firefox.


      1. mhspace
        11.08.2015 17:29
        +2

        SeaMonkey для любителей классического интерфейса Firefox. Серьёзно, они более консервативны в этом, на новые версии Gecko переходят менее, чем за день после релиза firefox.


        1. Revertis
          12.08.2015 11:06
          +2

          Сами гляньте, у них последний релиз «March 23, 2015». Да и интерфейс у них привет из 90-ых.


          1. mhspace
            13.08.2015 00:01
            +2

            Внезапно, да.
            Вот причины.

            А про интерфейс, разве что иконки, да. В остальном, используется системное оформление, интерфейс почти такой же, как в Firefox <= 28.


    1. norlin
      11.08.2015 16:13
      +12

      Было дело, помню, только нашёл себе удобную ветку рядом с висящими бананами, листики подвинул, чтоб тень была, как тут какие-то модники бум, бац, с деревьев послезали, палки, ружья, и вот уже интернетик и Хабр блин, а я только к той ветке привык, ненавижу, когда за меня решают.

      // это я не серьёзно, если что.


    1. stardust_kid
      11.08.2015 18:38
      +4

      Церковь Необновления приветствует тебя, брат. Отключи же богомерзкий яваскрипт и CSS, во имя Всесильного и Неназываемого.


  1. veam
    11.08.2015 16:53
    -2

    Какая у них цель, отключить адблок для основной части аудитории?


    1. VEG
      11.08.2015 17:05
      +8

      Предотвратить установку вредоносных расширений в браузер. Про AdBlock это уже любители подраматизировать придумали.


      1. veam
        11.08.2015 17:41
        +3

        Ага, роскомпозор и Мизулина тоже говорили, что блокировки вводятся исключительно для борьбы с дп.
        Для предотвращения установки вредоносных расширений могли бы сделать отключаемую опцию в about:config

        Я сейчас свой список дополнений посмотрел — у половины разработка прекращена, oldbar тот же самый.


        1. nochkin
          11.08.2015 22:49
          +1

          Прекращение разработки не является большой проблемой. Mozilla может подписать расширение автоматом если оно было скачано с addons.mozilla.org


      1. Meklon
        11.08.2015 17:42
        +3

        Тем более с opensourse вариантом тупо форкнут и будут дальше ставить, если что.


  1. idiv
    11.08.2015 20:09

    Несколько оффтоп — я так и не привык к такому быстрому росту номеров версий. Особенно к выходу обновлений в стиле 38.0.1, делали бы уже 38.1, 38.2 и так далее.

    В принципе само нововведение поспособствует более низкому порогу вхождения и упростит защиту компьютера для «семейного» пользования (можно будет не так сильно переживать насчет компьютеров родителей, например).


    1. b3nd3r
      11.08.2015 20:22

      Версии (в контексте FF и, например, Chrome) по сути уже ничего не значат, это скорее информация для разработчиков. Есть стабильная, бета, ночная, для разработчиков, релиз длительной поддержки для корпоративных пользователей. Никто же не спрашивает про версию Gmail, все просто получают новый фичи и все.


      1. idiv
        11.08.2015 21:27

        Я к тому, что есть странные скачки, вроде 38.0.1 — 38.0.5 — 38.1.0. Это несколько сбивает касательно понимания, есть важные нововведения для бытового потребителя или там просто улучшение скорости загрузки страницы на 0,01 секунду (грубо говоря).


        1. VEG
          11.08.2015 22:50
          +3

          Практически в каждом релизе есть исправления, касающиеся безопасности. По этой причине почти любое обновление — обязательное.


  1. vilgeforce
    11.08.2015 22:21

    Не совсем понятно как именно будут расширения подписываться: выдадут подпись, которой можно будет подписать все что угодно или подписывать аддоны будут только товарищи из Mozilla? Ни первый ни второй вариант, надо заметить, не спасут от установки всякой дряни.


    1. nochkin
      11.08.2015 22:50
      +1

      На данный момент подписывается всё автоматом на addons.mozilla.org. А там есть модерация, что бы фильтровать откровенную дрянь.


      1. vilgeforce
        11.08.2015 22:53
        +1

        Просто дрянь станет менее откровенной. Аддон на 4 десятка JS-файлов на 2-3 фреймворках и пара строк кода для инжекта левого кода — и шансы пропустить такое сильно возрастают.


        1. nochkin
          11.08.2015 22:55
          +4

          Конечно. 100% защита — это не включать компьютер, поэтому если полностью убрать нельзя, то надо минимизировать сколько можно.


  1. Darth_Biomech
    11.08.2015 22:34
    +2

    Т.е. я так понял это однозначно убьет все аддоны, разработка которых остановилась? Т.к. оригинальный архив не будет устанавливаться и работать в фоксе, а измененный с подправленным диапазоном допустимых версий — уже нет, потому что без подписи? Как-то уныло, особенно учитывая что 90% всех аддонов любово вида и у любой программы рано или поздно забрасываются создателями. Я не понимаю смысла невозможности отключения запрета на установку неподписанных аддонов.


    1. VEG
      11.08.2015 23:03
      +1

      Совсем старые расширения всё равно перестанут работать с многопроцессорной архитектурой, которую должны ввести до конца года. Что касается правки поддерживаемых расширением версий браузера внутри xpi файла — для расширений с сайта addons.mozilla.org это неактуально. Например, я загрузил свои расширения больше года назад, и раз в полтора месяца мне просто приходят уведомления, что автоматическая система тестирования расширений не заметила в моих расширениях никаких несовместимостей с новой версией Firefox, и от меня не требуется никаких действий — максимальная поддерживаемая версия поднимается автоматически.


      1. fundorin
        12.08.2015 00:38
        +1

        Установил сборку 64bit. Из всего списка расширений отключилась только дополнительная тема и ещё какой-то не сильно важный плагин. 99 процентов расширений работали ровно также, как и в 32bit. Правда, из-за отсутствия тем и небольшого косяка в интерфейсе пришлось откатиться обратно. Уверен, это пофиксят и с 64bit не будет никаких проблем.


        1. Crazybot
          12.08.2015 17:17
          +1

          64bit это не многопроцессорность ведь.


    1. Oreolek
      12.08.2015 08:51
      +1

      Это убьёт заброшенные аддоны, релизы которых не загружались на сайт Mozilla. Немного затормозит релизы всех остальных, потому что модераторы Mozilla Addons вручную проверяют исходные коды всех дополнений, что требует времени. Если же вы пользуетесь чем-то, что называется не «Mozilla Firefox», а, например, Iceweasel, то ничего не изменится.

      Смысл запрещать левые аддоны в том, чтобы пользователи не ставили что попало с каких-нибудь сайтов. Это именно те самые «Скачай быстро и бесплатно, но ещё быстрее если поставишь наши «Элементы SMSHAR»!» Без мало-мальски централизованного контроля такие аддоны не убить, а марку браузера они портят.

      Аддоны надо переписывать уже сейчас, потому что все ночные сборки и версии для разработчиков по умолчанию перешли на многопроцессорную архитектуру e10s. Например, Vimperator в конце года, скорее всего, отключится, потому что переписать не успеют.


      1. Darth_Biomech
        12.08.2015 09:47

        Как раз смысл запрещать подозрительные аддоны я понимаю. Я не понимаю запрещать их даже продвинутым пользователям, которые знают что делают.


        1. Oreolek
          12.08.2015 10:00
          +1

          Вы недооцениваете изобретательность мошенников. Если человеку сказать, что он должен сделать («набрать в строке about:config, найти такой параметр и выставить его в false») и убедить в том, что это ему надо, то он это сможет сделать. Не каждый, конечно, полезет настолько глубоко, но кто-то сможет, а в этом уже будут винить браузер. Точно так же как людей учили и убеждали обходить защиту Chrome, когда там ещё можно было ставить расширения из файлов.


          1. qw1
            12.08.2015 10:37

            Зачем тогда нужен аддон? Проще убедить запустить «инсталлятор» в виде exe-файла


            1. Oreolek
              12.08.2015 12:00
              +1

              Антивирусы и браузеры осторожнее относятся к exe-файлам, чем к xpi.


          1. Darth_Biomech
            12.08.2015 14:22

            С таким отношением «мало ли чего» можно вообще возможность скачивания файлов отключить… Это не выход.


        1. VEG
          12.08.2015 10:43
          +1

          Для продвинутых как раз остался Developer Edition, ну и будут какие-то другие сборки без Firefox в названии.


  1. qw1
    11.08.2015 22:36
    +1

    Только что прилетело обновление до версии 40, в которой появилась другая напасть: все закачки будут проходить через фильтры google

    Firefox asks Google’s Safe Browsing service if the file is safe by sending it some of the download’s metadata (file type, name, size, hash, URL, locale). If the file is flagged as harmful by this service, the download manager will block access to the file until the user performs a right-click, and unblocks it manually.


    1. VEG
      11.08.2015 23:07
      -1

      Если честно, я не понял в чём здесь драма. Вы боитесь, что Google узнает о том, что вы что-то скачивали? :)


      1. veam
        12.08.2015 00:45
        +7

        Ну, так гугл любит не только узнавать, но и постукивать властям.
        Так что в вопросах приватности ему доверять совершенно не стоит, а тут собираются добровольно отсылать ему все посещенные url и хеши закачанных файлов.


        1. VEG
          12.08.2015 01:00

          Напугали кота сосиской. Google знает всю мою почтовую переписку, все мои пароли и контакты, запоминает все мои перемещения (соответствующая фишка в Android включена), знает какие видео я смотрел на YouTube, всё что я когда-либо искал в интернете и даже какие жанры порно мне нравятся :) О боже, какой ужас! Google узнает, какие файлы я скачивал!

          Я вот вижу в этой функции больше пользы. Если эта функция сможет помешать пользователю запустить очередного зловреда — это же замечательно! А если вы продвинутый пользователь, и почему-то переживаете, что Google что-то там о вас узнает — можете просто отключить соответствующую функцию, наверняка же есть такая опция. Если же нет — добро пожаловать в мир форков Firefox.


          1. rPman
            12.08.2015 13:44

            -


            1. VEG
              12.08.2015 14:00

              Вы в любом случае доверяете кому-то какие-то данные. Пользуетесь мобильным телефоном — оператор знает про все ваши перемещения, про все ваши звонки и т.д. Пользуетесь сервисами Google — и он конечно же будет иметь доступ к каким-то вашим данным, которые там хранятся. Но в этом нет ничего кошмарного. Просто не давайте Google те данные, которые вы не готовы ему доверить (например, если это касается какой-то государственной тайны).


    1. Losted
      12.08.2015 11:26
      +1

      И прямо в конце той новости ссылка на то, как это отключить галочкой в интерфейсе.


  1. rPman
    12.08.2015 13:45
    +1

    Народ, вы действительно не понимаете что подобное — это централизация и кошмар!
    Благие намерения это повод, подмять под себя рынок приложений… это то, что не нравится мне у google chrome (по этой причине этот браузер у меня стоит чуть ли не исключительно для flash-сайтов).

    Я все больше и больше задумываюсь о смене браузера на какой-либо активный форк, даже если в нем никаких изменений по сравнению с мейнстримом не предвидится, а банальное копирование апдейтов с вычищением централизованной хрени.


    1. tundrawolf_kiba
      12.08.2015 14:00
      +1

      Мне понравилось, как к этому подошли в Яндексе — они блокируют все расширения, которые устанавливаются сторонними программами, и кажется отсутствующие в каталогах, но при этом нет проблемы их включить ручками. Плюс возможность ставить не только из каталога хрома, но и из каталога оперы. Как пример — расширение Savefrom.net, которое удалил из каталога хрома, и чтобы установить его в хром — нужно очень сильно извращаться, и при этом нет никаких проблем поставить его из каталога оперы. Так что советую попробовать — я юзаю ЯБ с момента старта и пока доволен для повседневного пользования. Хром юзается мной только для просмотра веб-консоли гибридных приложений на девайсах, т.к. в ЯБ эта функция очень нестабильна. Единственное чтодля меня выглядит минусом — это потребление памяти сравнимое с хромом)


    1. VEG
      12.08.2015 14:08

      Не драматизируйте. Исходные коды на месте, всегда можно сделать форк. Причём сама Mozilla предоставляет Developer Edition для продвинутых пользователей, где подобных ограничений нет. Если это нововведение поможет Mozilla избавиться от массы левых вредоносных расширений в браузерах пользователей, тем самым улучшив репутацию браузера (пользователи, самостоятельно установившие вредоносные расширения, всё равно в итоге ругают браузер), может быть это поможет остановить отток пользователей. Правда, для этого ещё нужно и проблемы отзывчивости решить, как-то пережив переход на многопроцессорную архитектуру.