von Martin Brinkmann am 10. Mai 2019 in Firefox – Keine Kommentare
Die Letzte Woche hat sich nicht großartig für Mozilla. Am vergangenen Freitag, Berichte begann, kommen aus der ganzen Welt, die installierten add-ons würde nicht überprüfen, nicht mehr und wurden deaktiviert, als Folge. Benutzer konnte nicht herunterladen und installieren Sie add-ons von Mozilla AMO mehr.
Die jüngsten zahlen zeigen, dass etwa 60% der Firefox-Nutzer installieren von add-ons in der browser-Software verhindern; jede Ausgabe, die Auswirkungen auf 60% der Benutzer, vor allem, wenn es um persönliche Entscheidungen durch den Nutzer, ist so kritisch wie es nur geht.
Mozilla behebt das Problem schnell, für die meisten Benutzer. Schnell noch hieß, dass einige Benutzer mussten warten Tage für Ihre add-ons wieder zu arbeiten, während andere, insbesondere jene, die auf ältere, nicht unterstützte Versionen, noch ein bisschen länger warten, bevor patches zur Verfügung gestellt.
Mozilla entschuldigt sich auf der offiziellen blog der Organisation heute. Das Unternehmen erkennt an, dass es fehlgeschlagen ist und dass man es Leid ist sich über das, was passiert ist. Die Organisation verwendet die Shield service für die Lieferung von Updates, um Benutzern schnell. Da es erforderlich ist die Aktivierung der Telemetrie im browser, es bedeutete, dass Daten aufgezeichnet werden.
Mozilla kündigte in der post, dass alle Telemetrie-und Studien gesammelten Daten, die zwischen 5. Mai und 11. Mai gelöscht werden.
Zur Wahrung unserer Nutzer zu möglichen Absichten so viel wie möglich auf der Grundlage unserer aktuellen set-up, werden wir löschen alle unsere Quelle Telemetrie-und Studien-Daten für unsere gesamte Nutzer-Bevölkerung gesammelt zwischen 2019-05-04T11:00:00Z und 2019-05-11T11:00:00Z.
Mozilla-CTO Eric Rescorla veröffentlicht eine technische Analyse des Problems, die auf der Mozilla-Hacks-blog. Er bietet Einblicke in Firefox hinzufügen-auf Unterzeichnung Funktionen.
Das root-Zertifikat wird zum signieren ein neues intermediate-Zertifikat und das intermediate Zertifikat ist zum signieren von end-entity-Zertifikate, die wiederum Zeichen der individuellen add-ons.
Das Zwischenzertifikat muss erneuert werden, alle paar Jahre, und es ist diese zu erneuern, dass ist nicht geschehen.
Jedes Zertifikat verfügt über einen festen Zeitraum, in dem es gültig ist. Vor oder nach diesem Fenster, das Zertifikat wird nicht akzeptiert werden, und ein add-on mit unterzeichnet, das Zertifikat kann nicht geladen werden in Firefox. Leider, das intermediate-Zertifikat wir waren mit abgelaufenem kurz nach 1 UHR UTC am 4. Mai, und sofort jedes add-on, das unterzeichnet war mit diesem Zertifikat werden nicht verifizierbar und nicht geladen werden konnte in Firefox.
Mozilla beschlossen, ein neues Zertifikat erstellen und installieren Sie es aus der Ferne in Firefox, um das Problem anzugehen.
Eine post-mortem ist in Arbeit und wird bald veröffentlicht werden. Mozilla verspricht, dass es wird eine Liste der änderungen, die die Organisation plant, um zu vermeiden, dass jede kritische Frage, wie dies in der Zukunft.
Rescorla denkt, dies sollte auch für die überwachung aller “Zeitbombe” – Komponenten im Firefox web-browser die Adresse jedes Problem, bevor es erreicht Benutzer, ein neues system, updates für Benutzer, die nicht erfordern, Telemetrie – /Studien, und auch ein Blick in die add-on-Architektur.
Schlusswort
Ich denke, wir sind uns alle einig, dass so etwas wie das add-on deaktivieren der Ausgabe sollte nie passiert in den ersten Platz. Es ist passiert, leider. Mozilla schnell reagiert, um das Problem anzugehen. Ja, einige Nutzer hätten gern eine bessere Informationspolitik der schnellere updates, Mozilla aber nicht wirklich, dass viele Optionen, um das Problem zu beheben schnell, vor allem, da es geschah über ein Wochenende.
Mozilla braucht, um zu implementieren Sicherheitsmaßnahmen, um sicherzustellen, dass dies nie wieder passiert. Die Organisation wird nicht deaktivieren Sie das gesamte add-on signing-Infrastruktur der Firefox-browser, das ist klar.