LINUX.ORG.RU

Начался переход к обязательному подписыванию дополнений Firefox и Thunderbird

 ,


0

2

В феврале появилось сообщение об обязательном требовании наличия цифровой подписи у дополнений к продуктам Mozilla. По мнению разработчиков, это поможет эффективнее противостоять вредоносным дополнениям, которые зачастую устанавливаются сторонними программами. Сейчас борьба с такими дополнениями осуществляется через специальный «черный список», но туда вносятся лишь известные вредоносы, которые уже успели сделать своё грязное дело. Mozilla сочла необходимым перейти к превентивным мерам.

Цифровую подпись смогу получить лишь дополнения, помещённые разработчками в официальный каталог дополнений (AMO), и проверенные модераторами. Дополнения, не размещенные на AMO (такие, например, как HTTPS Everywhere или предрелизные версии дополнений), невозможно будет установить на стабильные, бета- и LTS-версии продуктов Mozilla. И не будет никаких способов отключить эту систему безопасности (иначе вредоносные программы смогли бы просто её выключать и по-прежнему устанавливать свои дополнения).

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

Предусмотрено автоматическое подписывание ранее размещённых дополнений (чтобы не потерять те, которые уже заброшены), но лишь самых их последних версий. Это, фактически, ставит крест на использовании предыдущих версий, а также лишает пользователей возможности после выхода очередной версии браузера установить свежую версию дополнения из репозитория разработчика или вручную исправить дополнение, вместо того, чтобы ожидать публикации и одобрения модераторов на AMO.

Некоторые дополнения уже получили цифровую подпись. Установка неподписанных дополнений будет полностью заблокирована в Firefox 40.

>>> Подробности

anonymous

Проверено: anonymous_incognito ()
Последнее исправление: cetjs2 (всего исправлений: 2)
Ответ на: комментарий от d2

Я так и не понял, а как писать дополнения то под текущую версию Firefox? С «a manual review, which should take less than two days» особо не по тестируешь...

Писать под текущую альфу. К тому времени, как ты допишешь и пройдешь ревью, она уже пройдет бету и выйдет в релиз :)

anonymous
()
Ответ на: комментарий от Shadow

Не понял, по smtp всё отправляется...

Не понял

вот именно. Почитай тред, там всё написано.

emulek
()
Ответ на: комментарий от emulek

Dephormation, YouTube Center (версия с оф.каталога не работает на ютубе, автор советует юзать дев-версию, которую нужно ставить напрямую с гитхаба). Еще есть расширения, созданные специально для удобства работы с одним популярным форумом, авторы расширений давно отошли от дел и никуда их размещать не будут.

Некоторые расширения можно превратить в юзерскрипты, которые не требут подписи, видимо, тем и будем спасаться.

anonymous
()
Ответ на: комментарий от GodlikeBro

это ты не нужен. язабан таких дебилов, которые лезут в обсуждение популярной программы, которая нужна наверно миллионам.

прочитай, какой у меня говнонетбук: Начался переход к обязательному подписыванию дополнений Firefox и Thunderbird (комментарий)

А у тебя? А у тебя руки из жопы.

emulek
()
Ответ на: комментарий от anonymous

Анальные рабы должны страдать.

Как и фанатики вроде тебя.

с чего ты взял, что я фанатег? С тем же успехом, я могу назвать тебя вором, юзающем ворованную венду.

А вот раб ты потому, что я сам был таким(надеюсь ты не вор). И общался с русским саппортом мысы. Мне там сказали, что моя проблема «не баг а фича, и что я им должен доказать, что я маздай не украл». Я утёрся и заткнулся. Через 1.5 года мысы проблему решила, и мне пришло обновление с багфиксом.

Спасибо, уважаемый, я доволен, что давно уже не говноеед. И мне жаль тебя.

emulek
()
Ответ на: комментарий от Hurenweibel

Могли бы оставить эту возможность с включением в about:config (куда большинство хомячков не лазит).

Настройки из about:config хранятся в pref.js. Плейнтекстом. Что помешает малвари отредактировать там нужный параметр, чтобы спокойно всунуть свои дополнения? Именно поэтому не хотят делать никакого способа отключить подпись.

anonymous
()
Ответ на: комментарий от anonymous

Мать их за ногу этих индусов из некрософта, на кой хрен тогда в системе оставлять то, что работать в ней 100% не будет?

Пошутил. Это нормально.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

жлобство эффективное управление финансами.

в мысы все маздаи одинаковые, только некоторые фичи отключены. В Сети были патчи когда-то, но глючные и отваливались с обновлением.

А история типичная для нулевых и WinXP. Ничего не меняется.

emulek
()
Ответ на: комментарий от HunOL

И да и нет. Любой «обходной» вариант который я вижу - геморройный. Смысл что-то пилить бесплатно, если тебе ещё и старательно палки в колёса вставляют?

В общем, ждём когда они одумаются.

d2
()
Ответ на: комментарий от anonymous

К тому времени, как ты допишешь и пройдешь ревью, она уже пройдет бету и выйдет в релиз :)

Тонко и точно, зачёт. Но они иногда любят фичи прямо из mozilla-central сразу в Beta пихать. ЕМНИП, такое было с переделанной строкой поиска.

d2
()
Ответ на: комментарий от d2

Какие палки в колёса? Для разработчика абсолютно естественно иметь установленный набор инструментов, который с высокой долей вероятности не окажется у обычного пользователя. Что сложно в скачивании специальной версии ФФ для разработки?

HunOL ★★★★
()
Ответ на: комментарий от GodlikeBro

ни разу в своей жизни не видел ни одной мухи, которая бы в чём-то ошиблась

next_time ★★★★★
()
Ответ на: комментарий от anonymous

Была мысль включить в винде Applocker и запретить запуск приложений из Temp

А зачем для этого Applocker? Есть же права ФС. Только учти много всего перестанет работать ибо говноустановщики любят своё говно извлекать в temp и из него запускаться.

EvilFox ★★
()
Последнее исправление: EvilFox (всего исправлений: 2)
Ответ на: комментарий от HunOL

Что сложного пользоваться специальной версией линукса, одобренной твоим куратором? :}

Deleted
()

Firefox давно уже катиться в сторону удобства для тупых хомячков. Вот как спрашивается тестировать add-on если пишешь его на заказ? Должен быть какой то development mode. Да и вобще надо форкать и патчить. Там полно уже полупроприетарного говна.

mongo
()
Ответ на: комментарий от thriller

Действительно, пусть лучше владелец полезного сайта спустит все свои деньги на сервер, а то уж жирный больно, а донат без сложных лиц на каждой странице не работает.

Как по мне уж лучше сложные лица на каждой странице чем реклама на каждой странице.
Другое дело что и с ними донат работает не особо хорошо, а жаль, мне такой формат монетизации сайта кажется гораздо более кошерным нежели реклама.
Глядишь если-бы были удобные микроплатежи, донат-бы и заработал.

MrClon ★★★★★
()
Ответ на: комментарий от emulek

Фу какой ты грубиян. Прям резкий как ситро.

Но всё равно покормлю еще, нравишься ты мне.

Мне до чего нравится твоя манера переводить на личности.

Я под виндой говнософт не ставлю. Влепил стим и ориджин и пару игор с гог.геймс и не жужжу.

И да у меня почта вооооооообще на майле, жду уже от тебя вызывающего комента о том что это редкостное говно и прочее. И веб-интерфейсом я не пользуюсь, да. И по smtp там zip со встроенным exe не принимается кстати.

А вот гуглоговнопочтой приходится пользоваться на работе, между прочим через минимальный интерфейс ибо «нормальный» тормозит как хрен знает что.

И да уже написано, что если вы пересылаете зашифрованный зип-архив, т.е. с паролем, то его тоже отклонят, ты же копипастил сюда про форматы файлов.

Нах ты вообще пользуешься этой почтой, если сам же говоришь что она не нужна?

Ты не нужен. inb4 нет ты.

anonymous
()
Ответ на: комментарий от HunOL

который с высокой долей вероятности не окажется у обычного пользователя

Firefox Dev Edition ничем не отличается от Aurora, кроме как предустановленной темой и набором кнопок по умолчанию в панели.

А вот «под капотом» изменений на 2 мажорные версии. Как пример различий между Beta и Release: https://blog.mozilla.org/addons/2015/03/17/compatibility-for-firefox-38/

d2
()
Ответ на: комментарий от mongo

Ну тогда ОП-пост хотя бы прочитай. В этот раз я тебе помогу:

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

alozovskoy ★★★★★
()
Ответ на: комментарий от Hurenweibel

Вместо того, чтобы пофиксить это решето

Какое решето?

Решето в данном случае - это тот, кто сидит за компом, вот пусть сам себя и фиксит. А вообще печально все это. Сперва мелкомягкие устроили возню с этим ГУАШ, теперь Мозилла присоединилась. Сейчас и так развивается опасная тенденция - мало думать. А после таких вот «удобств» пользователи вообще перестанут думать.

anonymous
()

чтобы не потерять те, которые уже заброшены

Большинство заброшенных дополнений не работает давно, API меняли несколько раз. А аналога ImgLikeOpera до сих пор нет.

Hose
()
Ответ на: комментарий от anonymous

Да, всё правда.
Они нас всех за лохов имеют, как бы сказали некоторые мои знакомые.

Hurenweibel ★★
()
Ответ на: комментарий от emulek

«и что я им должен доказать, что я маздай не украл»

Ну раз мастдай ты украл, то какие претензии к саппорту? Воры должны страдать.

anonymous
()
Ответ на: комментарий от anonymous

А после таких вот «удобств» пользователи вообще перестанут думать.

А большинство и не начинали.

feofan ★★★★★
()
Ответ на: комментарий от anonymous

Ты так говоришь, словно бы они не собирались никогда этого делать. Читай на сайте.

anonymous
()
Ответ на: комментарий от anonymous

говнософт не ставлю
Влепил … ориджин

Толстовато.

anonymous
()
Ответ на: комментарий от Kisska

А это когда ты устанавливаешь дистрибутивы линукса, выбирая какой тебе понравится, на новый комп (или старый), находишь хороший дистр и восклицаешь: «Это просто праздник какой-то!»
[campaign against illiteracy] Das Fest — «праздник», а не «пиво».[/campaign against illiteracy]

Desmond_Hume ★★★★★
()
Последнее исправление: Desmond_Hume (всего исправлений: 2)
Ответ на: комментарий от aplay

Про Qupzilla я и забыл! Пора вести список хорошего софта, а то всё время забываю названия... Спасибо, что напомнили!

Desmond_Hume ★★★★★
()

Firefox скатывается в УГ. В настоящее время он регулярно падает, и они ничего не делают, чтоб это исправить. Теперь решили разгромить свой репозиторий дополнений.

а также лишает пользователей возможности после выхода очередной версии браузера установить свежую версию дополнения из репозитория разработчика или вручную исправить дополнение, вместо того, чтобы ожидать публикации и одобрения модераторов на AMO.

То есть я не смогу установить на свой броузер своё же дополнение??

KUser
()

как теперь на liveusb без adblock...

AT_95
()
Ответ на: комментарий от anonymous

Да, это понял. Но в ней тогда можно будет ставить левые обновления автоматически. Получается всё или ничего: либо только подписанное, либо что угодно. Выходом было бы добавление своего сертификата для проверки подписи, но как я понял этого не будет сделано

KUser
()

Это даже эпичнее, чем SecureBoot.

cvs-255 ★★★★★
()
Ответ на: комментарий от anonymous

И оказалось в Firefox никак нельзя отключить долбаную проверку сертификатов.

И в чем проблема файрфокса? Виноват провайдер, если он делает MitM.

cvs-255 ★★★★★
()
Ответ на: комментарий от anonymous

Подмена сертификатов - зло. Все вопросы к провайдеру

cvs-255 ★★★★★
()
Ответ на: комментарий от anonymous

А что мешает запилить эдакий «admin.js» в директории, где доступ на запись есть только у рута (например, «/etc»; в оффтопике - директория программы). Такой файл (при наличии) должен оверрайдить настройки профилей (включая файлы «user.js»). В этот файл можно класть общие для системы настройки, которые не должны меняться юзерами, в т.ч. политики по отношению к аддонам.

anonymous
()
Ответ на: комментарий от anonymous

Алсо, так можно защитить настройки (дефолтный поисковик, домашняя страница) от изменения всяким crapware. Подписывание аддонов от этого никак не помогает. Похоже, пидоры геи хотят превратить Мозилу в Эппл, как всегда начали с огораживания сада.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.