(Bild: Mozilla)
I kölvattnet av massa handikapp av Mozilla Firefox add-on ekosystem förra helgen, Mozilla har åtagit sig att förbättra sin spårning av tillgångar och utveckla en mekanism som snabbt kan driva uppdateringar till användare när det behövs.
På grund av en mellanliggande certifikat löper ut den 4 Maj kl 1 UTC, användare fann sin webbläsare add-ons var avstängd och kan inte återaktiveras. Tack för att tidszoner och rotation i planet, användare på den västra sidan av Stilla havet, var den första träffen.
Att skriva i ett blogginlägg, Firefox CTO Eric Rescorla detaljerad några inledande tankar och meddelade en formell besiktning efter slakt ska publiceras nästa vecka.
“För det första bör vi ha en mycket bättre sätt för att spåra statusen för allt i Firefox som är en potentiell tid bomb och se till att vi inte befinner oss i en situation där man går av oväntat. Vi arbetar fortfarande på detaljerna här, men vid minsta vi behöver för att inventera allt av detta slag,” Rescorla skrev.
“För det andra, vi behöver en mekanism för att snabbt kunna driva uppdateringar till våra användare, även när — — särskilt när allt annat går ner.
“Slutligen, vi kommer att titta mer allmänt på våra add-on security arkitektur att se till att det efterlevs rätt säkerhet i fastigheter på minst risk för att de går sönder.”
Rescorla sade webbläsare tekokare funderat på att använda en Firefox punkt släpp för att ändra datum som används för att validera utgånget certifikat. Det ansåg också att generera ett intyg som ersätter det som var giltigt eftersom det fungerade hur man får det att befintliga Firefox-användare. Den senare var den slutliga sätt armagadd-på mildrades innan Firefox 66.0.4 släpptes.
Firefox Normandie Studier mekanism valdes för att få ett nytt system add-on som innehåller den nya certifikat ut till användare-den mekanism har tidigare drivit foul av användare för att trycka oönskad kod.
Svarar på kritik om hur lång tid det tog för Mozilla att driva en fix, Rescorla sade att svaret var “ganska bra” från en stående start.
“För det första, det tog ett tag att utfärda den nya mellanliggande certifikat … rotcertifikatet är i en hardware security module som lagras offline. Detta är en god säkerhet praktiken, som du använder root mycket sällan, och så vill du att det ska vara säkert, men det är uppenbarligen något besvärligt om du vill att utfärda ett nytt intyg i krissituationer,” skrev han.
“För det andra, att utveckla systemet add-on tar lite tid. Det är i teorin väldigt enkelt, men även enkla program behöver ta lite hand, och vi ville verkligen se till att vi inte gör saker och ting värre.”
Tack till Firefox bara kontrollera Normandie uppdateringar varje 6 timmar, det tog ett tag för uppdateringen sprids till användare, Rescorla sade, medan de som inte valt att delta i Normandie, den frågan skulle fastställas genom en punktutgåva som kommer att göras senare.
Som användare som hade valt ut av Normandie som behövs för att slå på den mekanism för att återställa add-on-funktion, Mozilla sa att det skulle ta bort en veckas telemetri som samlas in via Studier för hela sin användarbas.
Firefox CTO medgav också att användare förlorade data i några fall, och det är något som behöver ses över. Han tillade också att en ny metod kommer att behöva inrättas för användare att snabbt få uppdateringar om de hade valt ut av Normandie.
“Uppdateringen kanal bör vara mer lyhörd än vad vi har idag. Även på måndag, vi hade fortfarande en del användare som inte hade plockat upp antingen snabbkorrigeringen eller dot-utgåvan, som tydligt inte är idealiskt,” skrev han.
Generellt, Rescorla sade Firefox-laget gjorde “ett fantastiskt arbete” i frakt en fix på mindre än 12 timmar från det första är rapporterade.
“Som någon som satt i möte där det hände, jag kan säga att människor arbetade otroligt hårt i en tuff situation och att mycket tid gick till spillo.”
Relaterade Täckning
Firefox add-ons funktionshindrade en masse efter Mozilla utfärda intyg
Firefox-användare rapport med inaktiverade tillägg, att det inte går att åter-aktivera eller (re)-installera tillägg.
Microsoft security chef: IE är inte en webbläsare, så sluta använda den som din standard
Internet Explorer är en “överensstämmelse lösning” och bör endast användas selektivt, varnar Microsoft exec.
Tidigare Mozilla exec: Google har saboterat för Firefox för år
Tidigare och nuvarande Mozilla ingenjörer är att nå deras kokpunkter.
Firefox för att lägga till Tor Browser anti-fingeravtryck teknik som kallas brevlådeformat
Firefox får en annan ny funktion från Tor Höjningen projektet startade i och med 2016.
Hur Mozilla använder AI för att hantera Firefox felrapporter (TechRepublic)
Företaget skapade en omistlig artificiell intelligens verktyg dubbade BugBug att klassificera och kategorisera varje felrapport.
Relaterade Ämnen:
Säkerhet
Cloud
Big Data Analytics
Innovation
Tech och Arbete
Samarbete