Mozilla ha annunciato nel mese di febbraio 2015 che richiedono componenti aggiuntivi per essere firmato, nel prossimo futuro, per migliorare la sicurezza e la privacy per gli utenti del browser.
L’idea era di ridurre il numero di codice dannoso rilasciato per il browser e qui soprattutto quelli che non sono distribuiti tramite Mozilla sito web attraverso la verifica delle firme.
L’unica opzione Mozilla ha per bloccare i dannosi add-ons attualmente è di aggiungerli alla blocklist globale, ma che richiede che Mozilla sa circa l’estensione e che, di solito, quando il danno è già fatto.
Add-on per la firma di impatti utenti e agli sviluppatori di diversi gradi. Add-on per gli sviluppatori, per esempio, è necessario presentare la loro add-ons per Mozilla indipendentemente dal fatto che essi hanno intenzione di rilasciarlo su Mozilla AMO o non.
Mentre è teoricamente possibile saltare la presentazione, vorrebbe dire che solo Dev e tutte le sere gli utenti possono installare l’add-on come questi sono i due soli canali per cui la firma non è obbligatoria.
Unsigned add-ons saranno bloccati in Stabile, Beta e versioni ESR di Firefox, una volta che la funzione di terre con nessuna opzione per ignorare la funzionalità nel browser preferenze o sulla pagina about:config.
Questo include tutti gli attuali componenti aggiuntivi installati nel browser che non sono firmati e anche tutte le estensioni con modifiche personalizzate (che secondo Mozilla devono essere presentate poi per la firma).
L’ultima versione di add-ons attualmente ospitato su AMO e qualsiasi nuova versione caricata dagli sviluppatori sarà firmato automaticamente. Mozilla già detto che questo non sarà il caso per le vecchie versioni.
Gli sviluppatori che non hanno caricato i loro estensioni AMO ancora, HTTPS Everywhere è un primo esempio, bisogno di farlo, se vogliono che il loro add-ons, che restano sempre disponibili a Stable, Beta e ESR utenti.
Se si esegue la versione stabile di Firefox avrete notato che un add-on per la firma è già iniziato.
Quando si apre il gestore dei componenti aggiuntivi nel browser, caricando about:addons per esempio, si possono già vedere alcune firmate add-ons elencati.
Ho controllato Firefox Stabile, Dev e di Notte, ma solo la versione stabile del browser elencati il NoScript add-on come il sottoscritto.
La firma non ha alcun impatto, attualmente non viene applicato.
Pale Moon utenti, invece, sono stati influenzati negativamente da questo come incidenti sono stati causati da estensioni con formattata in modo non corretto le firme o i file manifest. Aggiornamento di oggi a Pale Moon 25.3.2 risolto il problema.
Gli sviluppatori del browser di terze parti già detto che a loro non implementare add-on per la firma nel browser.
Originariamente previsto per essere rilasciato in Firefox 39 add-on la firma è ora sulla buona strada per essere rilasciato con Firefox 40.
Ulteriori informazioni sono disponibili sul Wiki di Mozilla sito web e i principali bug.