LINUX.ORG.RU

Начался переход к обязательному подписыванию дополнений Firefox и Thunderbird

 ,


0

2

В феврале появилось сообщение об обязательном требовании наличия цифровой подписи у дополнений к продуктам Mozilla. По мнению разработчиков, это поможет эффективнее противостоять вредоносным дополнениям, которые зачастую устанавливаются сторонними программами. Сейчас борьба с такими дополнениями осуществляется через специальный «черный список», но туда вносятся лишь известные вредоносы, которые уже успели сделать своё грязное дело. Mozilla сочла необходимым перейти к превентивным мерам.

Цифровую подпись смогу получить лишь дополнения, помещённые разработчками в официальный каталог дополнений (AMO), и проверенные модераторами. Дополнения, не размещенные на AMO (такие, например, как HTTPS Everywhere или предрелизные версии дополнений), невозможно будет установить на стабильные, бета- и LTS-версии продуктов Mozilla. И не будет никаких способов отключить эту систему безопасности (иначе вредоносные программы смогли бы просто её выключать и по-прежнему устанавливать свои дополнения).

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

Предусмотрено автоматическое подписывание ранее размещённых дополнений (чтобы не потерять те, которые уже заброшены), но лишь самых их последних версий. Это, фактически, ставит крест на использовании предыдущих версий, а также лишает пользователей возможности после выхода очередной версии браузера установить свежую версию дополнения из репозитория разработчика или вручную исправить дополнение, вместо того, чтобы ожидать публикации и одобрения модераторов на AMO.

Некоторые дополнения уже получили цифровую подпись. Установка неподписанных дополнений будет полностью заблокирована в Firefox 40.

>>> Подробности

anonymous

Проверено: anonymous_incognito ()
Последнее исправление: cetjs2 (всего исправлений: 2)

давно пора, осталось саму лису подписать еще и не давать устанавливать, менять без разрешения, особенно на винде

Только бы починили уведомления об обновлениях расширений, о то noscript например уведомляет постфактум зачастую, жутко тормозя перед всем этим...

anonymous
()

такие, например, как HTTPS Everywhere

Кстати, я вот юзаю его, а почему его нет на addons.mozilla.org?

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

Как-то не особо хочется сидеть на предрелизных версиях браузера. Можно ли будет собрать релизную версию (всё равно их собираю своим ебилдом с патчем для KDE) и передать какую-нибудь опцию к configure, чтобы и на ней отключить?

gentoo_root ★★★★★
()
Ответ на: комментарий от zenden

Ты еще не знаешь что по гуглопочте файлы с расширением отправлять нельзя.

anonymous
()
Ответ на: комментарий от anonymous

в Firefox никак нельзя отключить долбаную проверку сертификатов

Даже если бы было можно, есть ряд сайтов (гугл, например), чьи сертификаты жестко зашиты во все современные браузеры. Certificate Pinning называется. На такие сайты с подменённым сертификатом нельзя попасть вообще никак.

anonymous
()
Ответ на: комментарий от anonymous

Ну так вот сходи и почитай про корневые сертификаты, чтобы перестать быть тупым дилетантом и начать разбираться в том, за что тебе платят деньги или в том, что нужно тебе самому.

В лисе: настройки→дополнительно→просмотрсертификатов→центрысертификации→ипортировать.
И можешь хоть гугла, хоть папу римского подписывать. И будет хоть зелёная строка с золотым замком.

Goury ★★★★★
()
Ответ на: комментарий от anonymous

Я могу подписать сайт гугла?

Сможешь подписать большинство сайтов, но не гугл. В браузер жестко в код вшиты правила «сайты гугла могут быть подписаны вон тем, тем и еще тем, но больше ничем». Это никак не обходится. Ни в FF, ни в хромиуме, ни в осле.

anonymous
()

И не будет никаких способов отключить эту систему безопасности (иначе вредоносные программы смогли бы просто её выключать и по-прежнему устанавливать свои дополнения).

О, у них трава забористей чем у гугла (в винде хрен что свое поставишь просто так — постоянно блокируется, задалбывает). Идиоты, надеюсь айсвеазели нас спасут.

Firefox 40

Да что ж такое? А? В дебиане сустемд наступает, тут эти подписывальщики. В уефи секюрибоот, в процессоры тоже трешак пихают. Мать, так не хочешь — станешь маргиналом.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от anonymous

Это только на гугля из проприетарного хрома никак, в других бровзерах есть способы

Goury ★★★★★
()

в этом треде знатная перепись говноедов. А что за плагинчики-то вы боитесь потерять? Почему так бомбануло? Например я рад новости. У вас для меня плохие новости?

emulek
()
Ответ на: комментарий от vitalikp

геи всерьез обеспокоились... безопасностью...

anonymous
()
Ответ на: комментарий от alfix

в фф же есть список доменов с которых разрешена установка дополнений...

И при этом все равно спрашивает по два раза.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

Дело в том, что если хром отказывается идти на гугл, то в файрфоксе можно добавить исключение и гугл начинает открываться. Проблема не в подменённом сертификате, а в том что Firefox орёт «Unknown issuer» и не хочет работать. Если добавить исключение то работать начинает.

Там же, на одном из компов, что-то в Firefox было накручено, что сайты даже открываются, но понять, что именно там накручено я не понял. И Firefox какой-то от яндекса там стоит, со странной версией 7.0.

Там сохранился установочник, я пытался установить на другой комп, но стоковый вариант не работает, т.е. ведёт себя как новая версия. Пока я решил проблему переносом конфигов из профиля пользователя. На семёрке всё ок, а вот на восьмой винде уже начинает глючить.

Из того что я вычитал, https можно устанавливать по тому сертификату который есть, просто Firefox считает что соединению нельзя доверять ибо сертификат не подтверждён. Странно что они http не запретили, ведь ему тоже нельзя доверять! Там же воообще нет сертификата!

anonymous
()
Ответ на: комментарий от Desmond_Hume

надо вшивать намертво в браузер

Ага щаз, они с рекламы живут все. И адблок плюс — тормозное угребище.

mandala ★★★★★
()
Ответ на: комментарий от zenden

Доживем до того, что устанавливать приложения сможем только из маркета

Ну так многим это очень нравиться — безопасность, качество, все дела.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

Странно что они http не запретили, ведь ему тоже нельзя доверять! Там же воообще нет сертификата!

Они это исправили при реализации HTTP/2 (второй версии HTTP, недавно получивший статус RFC) :) Там в спецификации предусмотрено незашифрованное соединение, но мозилла и гугл из принципа не поддерживают HTTP/2 без шифрования.

anonymous
()
Ответ на: комментарий от mandala

ждем копилер адонов в ассемблерный код, судя по успехам rust и jit, cjit - уже не за горами...

anonymous
()
Ответ на: комментарий от anonymous

Уважаемый анониму не ходит иногда на сайты с уродскими баннерами, которым пофиг на контекст? Крутой анонимус, чё.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

А какие еще есть браузеры то сейчас? Раньше целая куча была, а тут раз два и обчёлся. Все под корпоративные стандарты прогибаются, да клоны хромиума плодят.

anonymous
()
Ответ на: комментарий от anonymous

Developer Edition это пре-бета. Я сильно сомневаюсь, что все дистрибутивы готовы перейти на такое.

плагины с дерьмом вы ставить готовы, а вот альфу браузера — нет?

emulek
()
Ответ на: комментарий от zenden

еще чего не хватало до полного счастья...

anonymous
()
Ответ на: комментарий от Goury

его делают не для тебя и не для меня, его делают для себя.

Ага, добровольцы за донат. Если свободный, не значит не коммерческий. На нем деньги зарабатывают.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

В браузер жестко в код вшиты

ты болен? Это OpenSource, пропатч и форкни. Тебя в ножки будут целовать такие же как ты любители помоек с хрен знает чем.

emulek
()
Ответ на: комментарий от anonymous

Только бы починили уведомления об обновлениях расширений

Отключи автообновлялку, они вредные. Ни когда не доверяй софту автоматическое обновление.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

все дистрибутивы готовы перейти на такое.

Пересобрать и выкинуть товарный знак: дебиан-моде.

mandala ★★★★★
()
Ответ на: комментарий от mandala

сустемд наступает

Slackware Linux

В уефи секюрибоот

купи нормальную мамку, а свою китайскую помойку продай. Кроме шуток.

в процессоры тоже трешак пихают.

а лучше прими эфтаназепама.

emulek
()
Ответ на: комментарий от emulek

Ну и радуйся. Тебе ни кто не запрещает. Мало ли зачем мне надо кусок дерьма в свой браузер воткнуть. Ой, он уже не мой, он мозиловский, печалька.

mandala ★★★★★
()

Если мы начинаем ограничивать свою свободу в угоду безопасности, это значит, что террор победил.

gigamax ★★
()
Ответ на: комментарий от mandala

вроде выключено - все равно норовит сам обновить, у лисы в последних версиях вроде принудительно обновляются аддоны

anonymous
()
Ответ на: комментарий от mandala

Вот это кстати правильно, про автообновление. А то я слыхал в там такая тема практикуется: Покупают какой-нибудь адблок, который у всех стоит, суют в него тонны троянов и рекламы и выпускают новую версию.

Любители обмазываться тоннами дополнений не понимают откуда у них реклама с письками и сиськами в три слоя, а новый хозяин гребёт центы с кликов экскаватором.

Профит!

И между прочим подписывание дополнений от такой подмены не поможет.

anonymous
()
Ответ на: комментарий от anonymous

Странно что они http не запретили

у меня для тебя плохие новости: моя старая мобилка не умеет SSL. Смотри на мой аватар. Я только к Сонику и на свой сайт смог зайти. Яндекс, гугл, ЛОР, да. Все почти.

emulek
()
Ответ на: комментарий от Desmond_Hume

Поговаривают что uBlock не тормозит. Но я АдБлок юзаю по инерции. У меня не тормозит.

anonymous
()
Ответ на: комментарий от anonymous

Там же в центре дополнений есть версионность, всегда можно скачать прошлую версию насколько помню и поковырять.

EvilFox ★★
()
Ответ на: комментарий от Desmond_Hume

Ublock быстрее. Они привирают конечно со скоростью, но очень заметно быстрее.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

года 3-4 не пользуюсь адблоком - профита больше, да и не нужен он, когда хватает noscript

anonymous
()
Ответ на: комментарий от anonymous

у лисы в последних версиях вроде принудительно обновляются аддоны

Если это правда, пора минимум растаскивать на все дистры iceweasel.

mandala ★★★★★
()
Ответ на: комментарий от emulek

Яндекс пока еще работает по http, почта и прочие сервисы нет. А гугл, даже пустой кидает на https уже, это да. Ютуб сейчас по http открывается, но когда кликаешь на просмотр комментариев тут же перегружается в https режим. Чувствую http хотят прижать не по детски.

А в будущем будет так. Хочешь гугл пользовать? Покупай подписку! Вот тебе сертификат, по которому гугл будет тебя пускать, до такого-то числа такого-то месяца.

Сделают потом Steam для сертификатов и будем покупать на распродажах сертификаты на всякие винфаки и хабры.

anonymous
()
Ответ на: комментарий от anonymous

И между прочим подписывание дополнений от такой подмены не поможет.

Массово все таки такое не провернуть, разовые атаки. От этого может защитить только полный аудит кода на каждый чих, яблоко стайл, только еще жестче. И денег на это нету.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от anonymous

Там в спецификации предусмотрено незашифрованное соединение, но мозилла и гугл из принципа не поддерживают HTTP/2 без шифрования.

именно так. Хотя Lynx работает… А, lynx уже умеет ssl. Вот и работает…

emulek
()
Ответ на: комментарий от anonymous

Мне показалось что гугл не брезгует подсовывать левые сертификаты и подсаживать свои сервисы на самоподписную лабуду - увидеть зеленый сертификат гугла уже экзотика

anonymous
()
Ответ на: комментарий от anonymous

Не так. Они же http объявили уязвимым и скоро будут реагировать на него, как на подмену или протухший сертификат. Видимо кто-то кому-то не плохо заплатил.

mandala ★★★★★
()
Ответ на: комментарий от EvilFox

Ага только теперь подписывать будут только последний вариант, ахаха. И если поковыряешь, то подписи тоже не будет.

И да, пора уже запиливать магазин с дополнениями, хочешь не смотреть рекламу? Отвали за дополнение 10 долларов 99 центов (*цена за один месяц использования), только сегодня и получи в подарок няшную тему с розовыми сейлормунами.

Я знаю, что и сейчас есть платные дополнения, но насколько я знаю механизма по продаже дополнений нативного, как в магазине с убунтой нет. Чисто костыли - зарегтесь на нашем сайте и тогда сможете проплатить и пользоваться.

c:stado

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.