LINUX.ORG.RU

Начался переход к обязательному подписыванию дополнений Firefox и Thunderbird

 ,


0

2

В феврале появилось сообщение об обязательном требовании наличия цифровой подписи у дополнений к продуктам Mozilla. По мнению разработчиков, это поможет эффективнее противостоять вредоносным дополнениям, которые зачастую устанавливаются сторонними программами. Сейчас борьба с такими дополнениями осуществляется через специальный «черный список», но туда вносятся лишь известные вредоносы, которые уже успели сделать своё грязное дело. Mozilla сочла необходимым перейти к превентивным мерам.

Цифровую подпись смогу получить лишь дополнения, помещённые разработчками в официальный каталог дополнений (AMO), и проверенные модераторами. Дополнения, не размещенные на AMO (такие, например, как HTTPS Everywhere или предрелизные версии дополнений), невозможно будет установить на стабильные, бета- и LTS-версии продуктов Mozilla. И не будет никаких способов отключить эту систему безопасности (иначе вредоносные программы смогли бы просто её выключать и по-прежнему устанавливать свои дополнения).

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

Предусмотрено автоматическое подписывание ранее размещённых дополнений (чтобы не потерять те, которые уже заброшены), но лишь самых их последних версий. Это, фактически, ставит крест на использовании предыдущих версий, а также лишает пользователей возможности после выхода очередной версии браузера установить свежую версию дополнения из репозитория разработчика или вручную исправить дополнение, вместо того, чтобы ожидать публикации и одобрения модераторов на AMO.

Некоторые дополнения уже получили цифровую подпись. Установка неподписанных дополнений будет полностью заблокирована в Firefox 40.

>>> Подробности

anonymous

Проверено: anonymous_incognito ()
Последнее исправление: cetjs2 (всего исправлений: 2)

вручную исправить дополнение

Ненависть

А зловреды теперь будут на ночные версии переводить браузер и все дела.

anonymous
()
Ответ на: комментарий от next_time

выкиньте дистрибутив, который распространяет свои исошники с такой рекламой. через торренты или нет — дело 10-е.

Полумеры. Надо монитор выбрасывать, который показывает всякое непотребство.

ashot ★★★★
()
Ответ на: комментарий от anonymous_incognito

А вот кстати да. Я пользуюсь, например, старым readability, который в офф-лайне выделяет самый большой текст и переформатирует. Я его на archive.org еле нашёл - выпилен отовсюду! И, сцука, если не успеешь запретить обновления, выпиливается сам из фаерфокса!

Shadow ★★★★★
()
Ответ на: комментарий от anonymous

Возможно, это приведет к росту популярности IceCat. Правда, у них свои заморочки, с блокированием несвободных JS-скриптов и прочими фанатичными ограничениями во имя приватности.

Ты сам ответил, почему это не приведет к росту популярности icecat.

ashot ★★★★
()
Ответ на: комментарий от Desmond_Hume

Фильмы, музыка, книги вас не интересуют?

интересуют, но не знаю, где их искать в лицензионном виде на торрентах

next_time ★★★★★
()
Ответ на: комментарий от Desmond_Hume

«А книга в лицензионном виде читается по-другому? Как-то иначе воспринимается сюжетная линия?»

Когда он держит лицензионную книгу в руках, у него встает, и он ощущает себя хозяином мира. И пофиг, что кредит не выплачен и зарплата офисного планктона.

anonymous
()
Ответ на: комментарий от anonymous

Везде её видишь.

Анон, у тебя память как у золотой рыбки.
Давай ещё хоть пару моих коментариев на эту тему за последние пару недель)

devl547 ★★★★★
()
Ответ на: комментарий от Hurenweibel

А если серьёзно, то полностью запрещать сторонние дополнения — гадство и сволочизм. Могли бы оставить эту возможность с включением в about:config (куда большинство хомячков не лазит).

включи голову, и перечитай первый пост ещё раз.

emulek
()

28 последняя более менее нормальная версия была. Хорошо что в 17 Минте она по умолчанию идет, если не обновлять.

anonymous
()

FF медленно но упорно катится в говно.

Началось всё с идиотской нумерации версий, потом пошли новые-моднявые говноинтерфейсы, какие-то видеочатики, а теперь наблюдаем огораживание пользователя потому, что мозилловцы так захотели. Кстати, инспектор, по сравнению с тем же хромовским или старым оперовским dragonfly - неюзабельное нечто.

Тот FF, который был раньше, а это например веосия 3.6 - вот это красота была. К сожалению использование таких старых версий в современных реалиях довольно затруднительно (нет поддержки HTML5, некоторых вкусных штук из JS типа локалстораджа и т.д.).

anonymous
()
Ответ на: комментарий от anonymous

Тебе смешно, а ты вот объясни чинушам, зачем в детском саду обязательный фильтр на Интернет? Компы стоят в бухгалтерии, у заведующей и у заместителя. Всего три штуки. При чём тут вообще дети? И из-за фильтра не работает даже почта. Из-за которой там Интернет и подключён. Втентаклем и прочей фигнёй, там как ни странно никто не озабочен.

тыг ведь стало же ещё смешнее :-)

ну да, тут как вариант решения проблемы похоже действительно выглядет тот вариант (который я писал ранее).

выполнить оба шага:

1. использовать интернет с фильтром — так как это обязательно нужно по закону.

2. использовать OpenVPN — так как без OpenVPN ни чего не работает нормально в этой ситуации :-)

получится в итоге — и чиновники рады, и проблем нет :-D

user_id_68054 ★★★★★
()
Ответ на: комментарий от anonymous

Тот FF, который был раньше, а это например веосия 3.6 - вот это красота была

совершенно неудобный засранный кнопками GUI. и нещадное тормозилово на тех компах которые были у людей во вромена 3.6 .

с учётом того что в те дни — web-сайты НЕ были такими навороченными как щаз (щаз: 100 запросов во время загрузки страницы) — единственное что могло оправдать 3.6 это отсутствие браузерной конкуренции

user_id_68054 ★★★★★
()
Ответ на: комментарий от anonymous

Ну как бы пользовался я Интернет на 56КБит и на пулы подключался по 33.6Кбит.

дык ты наверное переехал только что в новый дом, я угадал? А я жил в центре Питера, с АТС 50х годов.

ну и 33Кбпс это 4Кпс. Если обрывов не будет.

А по поводу пересылки архивов я думаю можно просто точку стереть

они похоже внутрь лезут, MIME проверяют. И да, если ЦП надо передать? ☺

Я считаю это не «уметь просить», а отправлять файл через жопу.

нет. Это норма. Понимаешь, если у меня _всегда_ и _все_ файлы зашифрованы, то я параноик. А если я ВНЕЗАПНО отправил *.gpg, то я задумал что-то плохое.

Ну и потом, если какая-то информация попадёт в чужие руки, это будет просто тупо неприятно. Я не хочу, что-бы кто-то дрочил на фото моей жены в голом виде. Если шифруешь _всё_, то риска случайно спалится (не то сунуть в архив) нет. Да ладно на жену, а ssh ключ к чужому серверу? Ну и как ко мне будут относится? Как к последнему мудаку.

Вот и думай. ЦП-то у меня всё равно нет, но шифровать нужно всё, и желательно ВСЕМ, что-бы на шифрование никто внимания не обратил: все шифруют, и я шифрую. Однако кому-то выгодно, что-бы люди считали, что шифрование == что-то плохое.

В конце концов, мои говнофотки принадлежат МНЕ. А не яндексу.

emulek
()
Ответ на: комментарий от emulek

Это такая гадость под винду, которая периодически запускает браузер с переходом на рекламные сайты «opera.exe http://www.имя_сайта»

anonymous
()
Ответ на: комментарий от KillTheCat

Мне теперь HTTPS Everywhere и RequestPolicy (из гит) выкинуть потому-что хозяин запретил?

нет. Потому, что там может быть ВСЁ ЧТО УГОДНО. Причём автор возможно не при чём. Сервер взломали, по дороге подменили, друг получил локальный доступ пока ты срал (не подписанный плагин ты никогда и не заподозришь).

Надеюсь будет форк без этого дерьма.

будет, в венде в полный рост можно ставить не подписанный код, а у нас только плагины. У нас ЕЩЁ нет вирусов

1. защита неуловимого Джо

2. прав рута браузеру не дают.

emulek
()
Ответ на: комментарий от anonymous

А зловреды теперь будут на ночные версии переводить браузер и все дела.

ты дурак? Как ты программу без прав рута передёрнешь?

emulek
()
Ответ на: комментарий от next_time

«само собой: у продукта, создаваемого за деньги, а не за еду, качество заведомо выше»

Тебя родители за деньги создавали?

anonymous
()
Ответ на: комментарий от emulek

Под виндой давно уже проги во всякие AppData ставятся без всяких прав рута, а ярлык на рабочем столе пользователя сделать вообще проблем нет. Так что кратко ответ звучит как «лехко».

anonymous
()
Ответ на: комментарий от emulek

Я же говорю просто стёр расширение и google успокоился, т.е. без расширения это не архив. Покрайней мере пока. Раньше exe не давал отправлять, в архиве zip тоже не давал, а в 7z уже можно было.

А про зашифрованные данные там явно написано, низя. Вот расшифруй, а потом отправляй, а то может ты там терракт планируешь, ай яй яй.

Как я понимаю все эти ограничения сделаны для того, чтобы ты гугл диск юзать начал. Всё же просто, на гугл диске вроде можно чо хочешь хранить. Так что грузишь в облако, кидаешь в письме ссылку, все довольны. В основном конечно Гугл.

anonymous
()
Ответ на: комментарий от anonymous

А про зашифрованные данные там явно написано, низя. Вот расшифруй, а потом отправляй, а то может ты там терракт планируешь

явно не написано. Напишут, переименую в *.txt и добавлю в начале

??? вам, а не мои файлы!
("???" там не будет, будут другие три символа)

не поможет — сделаю видео своей жопы во время акта дефекации, напишу простенькую программу, и поменяю некоторые фреймы. Пусть наслаждаются.

emulek
()
Последнее исправление: emulek (всего исправлений: 1)
Ответ на: комментарий от anonymous

Как я понимаю все эти ограничения сделаны для того, чтобы ты гугл диск юзать начал. Всё же просто, на гугл диске вроде можно чо хочешь хранить. Так что грузишь в облако, кидаешь в письме ссылку, все довольны. В основном конечно Гугл.

я не раб мышкотыканья и браузера. Мои файлы отправляются сами, по webdav. А ты — тыкай дальше.

В гугле нет webdav === гугол не нужен.

ЗЫЖ да, там уже есть защита: не более Х мегабайт. Печалька…

emulek
()
Последнее исправление: emulek (всего исправлений: 1)
Ответ на: комментарий от emulek

В подписанном может быть все что угодно. Или ты думаешь они станут ревью делать? Ха, ха и ха. Дев добавит вирусни, подпишет и зальет в стор. Все как с гуглплеем.

Плагины так и так без спроса не ставятся, а если мой друг получит доступ к компу то зачем ему плагины - сейчас в моде шифровальщики которым на рута побоку.

KillTheCat ★★★★★
()

Знатный бугурт у фурфагов :D

anonymous
()

FF продолжает скатываться в ДеРьМо. Как называется форк от RMS?

Klymedy ★★★★★
()
Ответ на: комментарий от next_time

«а вы — продукт?»

Я - продукт. А вы, надо полагать, отход.

anonymous
()

Неужели нельзя сделать защищенный костыль (read-only параметр about:config).
А устаналивать его например только через user.js.

surefire ★★★
()
Ответ на: комментарий от surefire

фурифаги же не осилили средства ОСей для хранения паролей (keychain, gnome keyring, у венды вроде что-тоже есть). Так что много от них хочешь

anonymous
()
Ответ на: комментарий от KillTheCat

В подписанном может быть все что угодно. Или ты думаешь они станут ревью делать? Ха, ха и ха. Дев добавит вирусни, подпишет и зальет в стор. Все как с гуглплеем.

а разве код плагинов к FireFox может быть закрытым? Плагины они простые, там прятаться негде. И туда полезут, пионеры, свои плагины делать, и быстро найдут бекдор, им даже не нужно понимать, что это бекдор, спросят http://stackoverflow.com/ что это, и зачем нужно.

Т.ч. разница есть.

Да и сами мозиловцы ревью могут сделать, это просто.

Плагины так и так без спроса не ставятся

в виндовс тоже ничего без спросу не делается, знаем, плавали.

если мой друг получит доступ к компу то зачем ему плагины - сейчас в моде шифровальщики которым на рута побоку.

тут ключевой фактор: время.

emulek
()
Ответ на: комментарий от surefire

Неужели нельзя сделать защищенный костыль (read-only параметр about:config)

таких костылей знаешь сколько делали? Первое, что в голову пришло: Secure Boot.

emulek
()
Ответ на: комментарий от anonymous_incognito

На самом деле есть же простое решение - можно было неподписанные дополнения разрешить ставить, но никогда не запускать при старте браузера. А запускать только по доп. подтверждению юзера (которое можно даже не показывать, если он сам не попросит).

Либо допустим прикрутить девелоперскую подпись через их же сервера и необходимость куда-нибудь залогиниться под девелоперским логином, чтобы в твоём браузере работал твой открытый ключ.

Или ещё как-нибудь...

Чтобы это обойти, нужно будет модифицировать сам exe'шник фаерфокса, что по безопасности ничем не отличается от цифровой подписи - путём модификации exe'шника там тоже, очевидно, всё можно обойти.

Просто иначе тупо получается - на стабильной версии теперь экстенжны нельзя тестировать, что ли, в процессе разработки-то? Только на ночнушках? А если они глючные?

vitalif ★★★★★
()
Последнее исправление: vitalif (всего исправлений: 1)
Ответ на: комментарий от surefire

Вот через user.js это как раз несекьюрно. Насколько я понимаю, идея в том, чтобы запретить устанавливать вредонос путём манипуляций исключительно с профилем, куда юзер всегда имеет доступ, в винде без UAC'а, в линуксе соответственно без прав рута.

Т.е. если делать параметр, его нужно выносить в папку установки ФФ.

Т.к. если вредонос может модифицировать сам exe'шник, ничего уже не спасёт.

vitalif ★★★★★
()

Правильно, нечего пользователям писать дополнения к свободному продукту с проприетарным ключом, пользуйтесь томе что разрешили! После выхода гуглобраузера сначала угробили оперу, а теперь добивают мурзиллу. А подписывать дополнения нужно только после одобрения работниками гугла:)

Napilnik ★★★★★
()
Ответ на: комментарий от vitalif

P.S: Хром подобным образом, правда, никто не спасёт - он вообще под виндой ставится, по-моему, в AppData. Сам exe'шник. Дебилы :))) правда никто вроде и не заморачивается на модификацию этого exe'шника... но аддонами всякими говёнными профиль хрома инфицируют вполне успешно, да.

vitalif ★★★★★
()
Последнее исправление: vitalif (всего исправлений: 2)
Ответ на: комментарий от vitalif

Тогда есть системный /usr/lib/firefox/defaults/pref/
Но в статье не про юзера, а про само расширение, которое может менять параметры about:config

surefire ★★★
()
Ответ на: комментарий от gigamax

Если мы начинаем ограничивать свою свободу в угоду безопасности, это значит, что террор победил.

Свободу придумали рабовладельцы, чтобы налог на имущество не платить.

ashot ★★★★
()
Ответ на: комментарий от HunOL

При таком раскладе только 2 варианта:

* Дополнения будут иметь в качестве минимальной поддерживаемой версии 39.0a2, максимальной - 40.0a1 (т.е. обычные пользователи никогда не получат это дополнение).

* Никто просто не будет ничего тестировать.

p.s. RIP

d2
()
Ответ на: комментарий от jekader

поставляется iceweasel в котором подобный трэш явно будет отключён

Iceweasel, ЕМНИП, идентичен Firefox, лишь заменены логотипы и название. Ничего другого там не меняют. Собственно, сам Iceweasel существует лишь потому, что политика некоторых дистров не позволяет принять браузер, в котором несвободный логотип.

anonymous
()
Ответ на: комментарий от mandala

Мейл сру фиг теперь выпилишь, все «ярлыки» засирает. В оффтопике, конечно. Я пока догадался, весь обплевался

Только что вычищал это сатанинское поделие у подруги. Она умудрилась скачать и запустить «суперпуперпопулярнаяпесенка.exe». Сия приблуда скачала mp3-шку, а заодно установила нечто по имени eTranslator. Который, в свою очередь, установил «спутник мейл.ру», «браузер Амиго», мейлрушные тулбары и поисковики в осла и лису, а до кучи похерил все ярлыки браузеров, поменяв их на своё «амиго».

Была мысль включить в винде Applocker и запретить запуск приложений из Temp, но после часа мучений, апплокер так и не завелся. Оказалось, что в Windows 8 Pro он в системе есть, доступен для настройки, но не работает, а работает лишь в Enterprise. Мать их за ногу этих индусов из некрософта, на кой хрен тогда в системе оставлять то, что работать в ней 100% не будет?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.