LINUX.ORG.RU

Начался переход к обязательному подписыванию дополнений Firefox и Thunderbird

 ,


0

2

В феврале появилось сообщение об обязательном требовании наличия цифровой подписи у дополнений к продуктам Mozilla. По мнению разработчиков, это поможет эффективнее противостоять вредоносным дополнениям, которые зачастую устанавливаются сторонними программами. Сейчас борьба с такими дополнениями осуществляется через специальный «черный список», но туда вносятся лишь известные вредоносы, которые уже успели сделать своё грязное дело. Mozilla сочла необходимым перейти к превентивным мерам.

Цифровую подпись смогу получить лишь дополнения, помещённые разработчками в официальный каталог дополнений (AMO), и проверенные модераторами. Дополнения, не размещенные на AMO (такие, например, как HTTPS Everywhere или предрелизные версии дополнений), невозможно будет установить на стабильные, бета- и LTS-версии продуктов Mozilla. И не будет никаких способов отключить эту систему безопасности (иначе вредоносные программы смогли бы просто её выключать и по-прежнему устанавливать свои дополнения).

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

Предусмотрено автоматическое подписывание ранее размещённых дополнений (чтобы не потерять те, которые уже заброшены), но лишь самых их последних версий. Это, фактически, ставит крест на использовании предыдущих версий, а также лишает пользователей возможности после выхода очередной версии браузера установить свежую версию дополнения из репозитория разработчика или вручную исправить дополнение, вместо того, чтобы ожидать публикации и одобрения модераторов на AMO.

Некоторые дополнения уже получили цифровую подпись. Установка неподписанных дополнений будет полностью заблокирована в Firefox 40.

>>> Подробности

anonymous

Проверено: anonymous_incognito ()
Последнее исправление: cetjs2 (всего исправлений: 2)
Ответ на: комментарий от anonymous

Гики должны сидеть на дуршлыгобажных бетках? Сам сиди нам этом говне.

anonymous
()
Ответ на: комментарий от anonymous

Ещё один упоротый с бзиком на ЛГБТ лобби, скрывающимся за каждым камнем. Тебя в детстве в час с дерьмом не роняли?

anonymous
()
Ответ на: комментарий от anonymous

Нет. Это, должно быть, твоя семейная традиция.

anonymous
()
Ответ на: комментарий от anonymous

Алсо, геи не дремлют! Только стоило упомянуть ЛГБТ, как сразу из чана с дерьмом вылез «защитник».

anonymous
()
Ответ на: комментарий от anonymous

Во всех своих эпических фейлах фашисты традиционно винят геев. Да и вообще всех, кто не может ответить симметрично.

anonymous
()
Ответ на: комментарий от cvs-255

Файрфокс виноват тем, что он может работать с непроверенными сертификатами, но не хочет. Без пинка под зад.

Это ограничение, причем такое же как и в проприетарщине, которую так все не любят.

Они считают, что уже набрали критическую массу и могут вытворять что хочут. По сути так и есть. Потому что выбирать то не из чего. Или Хромобраузеры или Сафари(или как там называется, никогда не видел) или Лиса. Всё.

Тебе понравится, например если на домашнем компе тебя система заставит обязательно сделать пароль, длиной 32 символа, с Большими, малыми буквами и цифрами и спецсимволами? Потому что так безопаснее же. И плевать, что ты, например вообще один живешь. И функция эта будет вшита в ядро, например, которое будет подписано и если ты его перекомпилишь, то система не включится.

PS Хотя проблема даже не в этом. А в том, что если сертификат даже добавить вручную, почему-то сайт отображается криво, т.е. белый фон и весь текст в один столбец, без картинок и прочего.

anonymous
()

И нельзя уже будет написать дополнение для себя, без проверки его модераторами?

orion ★★
()

Модераторы будут все расширения, которые уже есть в магазине проверять? И каким образом, интересно, каждую строчку скрипта изучать?

macsucks
()
Ответ на: комментарий от anonymous

Я думал о том же, когда наткнулся на поломку сертификатов в одном из детских садов

там включена какая-то ростелеком фильтрация

долбаную проверку сертификатов

Так что Firefox это то еще добро

Пиздец, т.е лиса виновата в том что ты живешь в стране где всячески зажимают инет?

anonymous
()
Ответ на: комментарий от anonymous

нет поддержки HTML5, некоторых вкусных штук из JS типа локалстораджа и т.д.

Пересел на xombrero в whitelist режиме. За день включаю js в лучшем случае один два раза. Энергопотребление уменьшилось в разы, рекламы нет, память не выжирает. Профит мать вашу.

anonymous
()
Ответ на: комментарий от orion

Если очень хочется, то

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

Ghostwolf ★★★★★
()
Ответ на: комментарий от zenden

Гугл отключает джаву, фирефокс отключает дополнения, доколе мы будем терпеть произвол производителей ПО??? Доживем до того, что устанавливать приложения сможем только из маркета

Так тут радоваться надо: ведь это доказательство, что опен-соурс добрался до десктопов! Но действительно ли мы хотели этого?..

gag ★★★★★
()
Ответ на: комментарий от Co6aku

Запарило чистить на чужих компах 1000 вебальт и прочего добра, который поставился после запроса «СКАЧАТЬ МУЗЫКУ БЕСЛПАТНО И БЕЗ РЕГИСТРАЦИИ И БЕЗ СМС»

Нельзя проводить глобальную политику программного продукта, основываясь исключительно на такой аудитории. Это заведомо проигрышный вариант. Особенно, если основная масса пользователей окажется совсем другого качества. В этом случае можно ожидать отток части пользователей на другие решения. На сколько значительной окажется эта часть покажет время.

melcomtec
()
Ответ на: комментарий от gigamax

Если мы начинаем ограничивать свою свободу в угоду безопасности, это значит, что террор победил.

Очень правильно сказано! Сразу вспомнил высказывание Бенджамина Франклина:

Тот, кто жертвует свободой ради безопасности, не достоин ни того, ни другого.

melcomtec
()
Ответ на: комментарий от te111011010

Куда можно пожертвовать деньги на создание форка без зонда?

Без какого зонда? Вообще без дополнений чтобы? Это куда-нибудь в Гнум обратитесь.

Citramonum ★★★
()
Ответ на: комментарий от anonymous

А про зашифрованные данные там явно написано, низя. Вот расшифруй, а потом отправляй, а то может ты там терракт планируешь, ай яй яй.

Наркоман что-ли? Запрещено исполнимые типы файлов, даже внутри архивов. Про зашифрованные файлы - нет ни слова. И они спокойно отсылаются и отправляются.

Вот тебе чтиво: https://support.google.com/mail/answer/6590?hl=en

Драйв они продвигают для крупных файлов, для этого есть ограничение в 25 мегабайт на аттачмент.. (ну и просто чтобы не порвать кому-нибудь почтовый сервер).

zink ★★
()
Ответ на: комментарий от anonymous

Тебе понравится, например если на домашнем компе тебя система заставит обязательно сделать пароль, длиной 32 символа, с Большими, малыми буквами и цифрами и спецсимволами? Потому что так безопаснее же. И плевать, что ты, например вообще один живешь. И функция эта будет вшита в ядро, например, которое будет подписано и если ты его перекомпилишь, то система не включится.

Добавь себе свой CA в юзер-сертификаты и живи долго и счастливо, по крайней мере будешь знать что тебя не MITM'ят соседи.

Хотя проблема даже не в этом. А в том, что если сертификат даже добавить вручную, почему-то сайт отображается криво, т.е. белый фон и весь текст в один столбец, без картинок и прочего.

Ну, то есть, проблемы в руках. Если не подгружается часть файлов страницы - это значит что сертификат для поддоменов не прописан или кривой полиси настроен на подгрузку файлов или ещё где-то накосячил.

zink ★★
()
Ответ на: комментарий от melcomtec

Галочка в настройках. И все у всех хорошо. Только надо сделать так, чтоб галка по дефолту была всегда включена. Если в состоянии сам зайти в настройки браузера, значит вероятность того, что ты будешь ставить дырявые левые плагины меньше.

Co6aku
()
Ответ на: комментарий от Co6aku

Молодец, уважаю инициативных. К какому числу будет готово?

anonymous
()
Ответ на: комментарий от Co6aku

Mozilla прямо сказала, что никакими настройками (ни галочками, ни конфигами, ни ещё как) это отключаться не будет. Объяснение от Мозиллы - малварь доберётся. На вопрос, почему бы не использовать директории с доступом на запись только для рута - молчок. Была бы настройка - не было бы кипиша.

anonymous
()

https://wiki.mozilla.org/Addons/Extension_Signing
Хм. Да фигня вопрос.
1. Будет какая-то дженерик-версия без брендинга, где это дело отключится. Я так понимаю, скоро у нас будет файрфокс для хромобыдла и какой-нибудь Phoenix для тех, кому оно надо.
2. Будет Developer edition.
3. Seamonkey может и не перейти.

Короче, мозилла опять трясётся за свою торговую марку, ничего нового.

dogbert ★★★★★
()
Ответ на: комментарий от anonymous

ты так говоришь, будто лазить по порносайтам это плохо

anonymous
()
Ответ на: комментарий от zink

Почитал:

It isn't possible to send a password-protected zip file containing a zip file. Please de-compress all files or remove the password protection if possible.

Видишь? Это еще только начало, сначала «if possible», а потом «mandatory». И не только для зип-файлов, но и для всего остального. Ну чтобы все в Безопасности(tm) были.

По поводу детского сада и ssl.

Ясень пень и так что проблема «в руках». Но её бы не было, если бы firefox не беспокоился о моих соседях которые меня «взламывают». Потому что ничего важного я по этому https не передаю.(меня и http устраивает, но почему-то он перестал работать) В данном конкретном случае, это тоже самое, что и использование усложнённых паролей на локалхосте. Никакой безопасности не добавляет, только неудобства.

Так же по поводу неподгружающихся дополнительных файлов.

Вот смотри, я открываю сайт по https. Firefox орёт, что нужно добавить исключение. Я добавляю его. После этого Firefox орать перестаёт. Но страница грузится неверно.

Теперь ответь, где скачать плагин телепатии, чтобы узнать что я сделал не так и при чём тут кривые руки?

Вся эта ситуация мне напоминает развод у сотовых операторов. Отказаться от платного контента навсегда нельзя, а если ты возражаешь что тебя разводят на бабки, то тебе предлагают отказаться от сотовой связи вообще. Или говорят «у других опсосов тоже разводят на бабки».

Как бы это вообще левые аргументы. Надеюсь понятно? Если с паролем для компа недостаточно понятно привожу другой аргумент. Чтобы ты не выстрелил себе в ногу, тебя размещают в психушке, упаковав в смирительную рубашку. Ну так на всякий случай, сразу и без разговоров. Зато безопасно! И так всех поумолчанию держать. Для их же безопасности.

anonymous
()
Ответ на: комментарий от emulek

Однако кому-то выгодно, что-бы люди считали, что шифрование == что-то плохое.

По этому поводу очень хорошо высказывались Сноуден:

Ответственный и понимающий человек не может бросаться словами вроде «мне скрывать нечего, пусть шпионят, раз надо». Потому что в действительности такая реакция означает нечто иное — «Мои права для меня несущественны».

Подобного рода заявления переворачивают сами основы в соотношении прав и ответственности. Ибо человеку — как гражданину — не требуется обосновывать свои права, имеющиеся по закону (право на тайну личной жизни, на презумпцию невиновности и т.д.).

А вот государство, напротив, обязано обосновывать каждое свое вторжение в область ваших законных прав. Если же вы прекращаете защищать свои права, заявляя что-нибудь вроде «ну, они мне в делах с сетевой слежкой и не требуются» или «да я вообще в этой технике мало что понимаю», то в этот момент от ваших законных прав здесь не остается ничего...

В итоге подобная позиция приводит к подрыву самой концепции прав человека и гражданина. Своим отказом это отстаивать мы превращаем собственные права в нечто такое, что получаем от правительства как бы в качестве отзываемой привилегии. Как нечто такое, что власти могут отменять, если им так удобнее. И процессы эти весьма ощутимо снижают уровень свободы в обществе.

и Шнайер:

Самое распространённое что используется против тех кто обеспокоен вопросами приватности, высказываемое людьми внедряющими всевозможные средства слежки (идентификационные проверки, видеокамеры, базы данных, всеобъемлющий сбор данных): «Если вы не делаете ничего плохого, то зачем вам что-то скрывать?».

Некоторые хорошие ответы:

  • Если я не делаю ничего плохого, то у вас и нет поводов чтобы следить за мной
  • Потому-что правительство взялось определять что есть плохо, а что хорошо и они постоянно продолжают менять эти определения
  • Потому-что вы можете сделать что-нибудь неправильное с моей информацией

Эти ответы показывают ту самую подмену понятий, совершаемую государством — приватность это вопрос о том чтобы скрывать что-то нехорошее. Это не так. Приватность это неотъемлемое право человека, и необходимое условие его существования с достоинством и уважением.

anonymous
()
Ответ на: комментарий от emulek

а разве код плагинов к FireFox может быть закрытым? Плагины они простые, там прятаться негде

Бывают закрытые, но редко. Обычно это от коммерческих сервисов, предлагающих vpn/proxy (типа Hola). Там внутри плагина полноценные бинарники, которые еще и запускаются. Изврат ужасный, но всё же...

anonymous
()
Ответ на: комментарий от vitalif

Хром подобным образом, правда, никто не спасёт - он вообще под виндой ставится, по-моему, в AppData. Сам exe'шник. Дебилы :)))

Они это сделали для упрощения автообновления. Чтобы быстро и решительно латать уязвимости браузера, а не спрашивать каждый раз у домохозяек подтверждения через UAC, которое те еще могут и не разрешить.

anonymous
()
Ответ на: комментарий от d2

А вот «под капотом» изменений на 2 мажорные версии. Как пример различий между Beta и Release

Эээ... между бетой и релизом не бывает изменений, разве нет? Только багфиксы. По твоей ссылке изменения между релизами.

Насколько я понимаю, процесс превращения ночнушек в релиз таков: когда подходит срок, берется ночнушка и ее обзывают Dev Edition (она же альфа, она же бывшая аврора). Дальше в течение определенного времени оценивают готовность новых фич, не готовые фичи отключают и dev превращается в бету. Во время беты фиксятся лишь баги.

anonymous
()
Ответ на: комментарий от Hose

Большинство заброшенных дополнений не работает давно

Некоторые используемые мною дополнения не обновлялись с 2011 года. Но это, в основном, справедливо для очень простых. Естественно, чем сложнее дополнение, тем больше шансов, что что-то, необходимое для его работы, уже поменялось.

anonymous
()
Ответ на: комментарий от macsucks

Модераторы будут все расширения, которые уже есть в магазине проверять? И каким образом, интересно, каждую строчку скрипта изучать?

Насколько я понял, файлы, уже размещенные ранее в каталоге дополнений, будут подписаны автоматически (но лишь последняя из версий). Логика такова: если оно там уже долго живет, скорее всего, там нет злого кода. А как будут проверять новые версии - наверное, как и сейчас. Не знаю, как именно анализируют, но делают это довольно небыстро... Возможно, у них тулзы для этого есть, выявляющие подозрительные функции и действия в коде и требующие внимания живого оператора.

anonymous
()
Ответ на: комментарий от anonymous

лучший пост треда

также, что порешали-то? куда бечь будем?

на купзилла, столлмановский айскэт, реконг (кстати, он живой вообще?), оттер (он ещё пилится?), ещё куда? дополняйте

anonymous
()
Ответ на: комментарий от anonymous

Всё верно, но речь шла о том, чтобы разрабатывать на Dev, а Release просто помечать «совместимой» без тестирования. Между Dev и Release либо 2 релиза с кучей изменений, либо, как ты правильно заметил, просто около 2-х месяцев. И тот, и тот путь неудобен (как минимум).

d2
()
Ответ на: комментарий от te111011010

Никуда не надо жертвовать. Надо будет скачать и запустить малварь, а малварь сама скачает и установит пропатченную версию фф с возможностью установки любых аддонов.

anonymous
()
Ответ на: комментарий от anonymous

Видишь? Это еще только начало, сначала «if possible», а потом «mandatory». И не только для зип-файлов, но и для всего остального. Ну чтобы все в Безопасности(tm) были.

Для архивов требование чтобы можно было прочитать название файлов содержимого. Если ты кладёшь зип в шифрованый зип, то прочитать названия файлов содержимого первого зипа нельзя. Шифрованные файлы отправлять можно. Мы сейчас обсуждаем что есть, а не «то ли ещё будет». Если хочешь пообсуждать что будет, то так и пиши: «А ещё я думаю что скоро...» и тогда претензий не будет. А выдавать фантазии за уже свершившееся - не комильфо.

Вот смотри, я открываю сайт по https. Firefox орёт, что нужно добавить исключение. Я добавляю его. После этого Firefox орать перестаёт. Но страница грузится неверно.

Теперь ответь, где скачать плагин телепатии, чтобы узнать что я сделал не так и при чём тут кривые руки?

Повторю тебе ещё раз: значит файлы находятся на другом поддомене, сервер отдаёт директиву, что доп. файлы нельзя подгружать с других доменов или ещё какое криворучее, проверяй всё, лезь на стаковерфлоу и разбирайся, тут тоже телепатов нет. А комментарий про руки потому что, допустим, в инфраструктуре компании тоже используется ССЛ с самоподписанными сертификатами, как внутренние ресурсы со своим ЦА, так и дев. сервера с просто самоподписанными и работает как вкорячивание ЦА (для первых), так и добавление исключения (для вторых).

Вся эта ситуация мне напоминает развод у сотовых операторов. Отказаться от платного контента навсегда нельзя, а если ты возражаешь что тебя разводят на бабки, то тебе предлагают отказаться от сотовой связи вообще. Или говорят «у других опсосов тоже разводят на бабки».

Как бы это вообще левые аргументы. Надеюсь понятно? Если с паролем для компа недостаточно понятно привожу другой аргумент. Чтобы ты не выстрелил себе в ногу, тебя размещают в психушке, упаковав в смирительную рубашку. Ну так на всякий случай, сразу и без разговоров. Зато безопасно! И так всех поумолчанию держать. Для их же безопасности.

У тебя какая-то шизофазия. У всех пряморуких нормально работают варианты с самоподписанными сертификатами, самовыданными CA и с остальными вариантами, а ты тут неосилил настроить сервер чтобы нормально отдавать контент по ССЛ и плачешь что шифрование - зло.

zink ★★
()
Ответ на: комментарий от zink

Про шифрование, да, не совсем всё плохо. Но не думаю, что если и будет то зайдёт дальше чем проверка стандартных форматов. Просто кусок файла с непонятным содержимым будут разрешать отправить.

У тебя какая-то шизофазия. У всех пряморуких нормально работают варианты с самоподписанными сертификатами, самовыданными CA и с остальными вариантами, а ты тут неосилил настроить сервер чтобы нормально отдавать контент по ССЛ и плачешь что шифрование - зло.

Какой сервер? Ты о чём? Перечитай топик - речь идёт о Интернет в детском саду, где Ростелеком поганит все сертификаты, а без фильтров никак ибо «образовательное учреждение».

Все здесь старательно защищают лису и шифрование. А вопрос в том, что отключить проверку вообще нельзя, а это бы решило проблему раз и навсегда. Ну не нужно никому это шифрование, кроме Мозиллы, понимаешь?

А если идти тем путём, который предлагает Мозилла, то всё равно не работет. Т.к. есть какие-то еще сайты, которым Мозилла не доверяет, но их нужно сканить вручную.

Ты мне советуешь вообще перебирать все сервера с которых качаются файлы, ты хоть понял, что ты мне предложил? Мне проще наверное файрфокс отредактировать, чтобы там галка по отключение сертификатов появилась, чем все сайты в Интернет шерстить и добавлять в исключения.

Я говорю, о том, что функционала нет, и обходной путь через чёрных ход, а ты говоришь, о кривых руках. Все остальные «пряморуки» жрут, что дают, а я возражаю. Не иначе в руках дело.

anonymous
()
Ответ на: комментарий от Co6aku

Запарило чистить на чужих компах 1000 вебальт и прочего добра

Если тебе за это платят, то в чем проблема? Если нет, то зачем ты этим занимаешся?

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

Ой, у меня ничего не работает. Вась, посмотри, тыж погромист//аутист//сосед. Знакомые, друзья. Денег брать как-то не очень, а если не поможешь, то будут потом долго выпиливать мозги.

Co6aku
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.