da Martin Brinkmann il 10 Maggio, 2019 in Firefox – 4 commenti
La scorsa settimana non è stato grande per Mozilla. Venerdì scorso, i rapporti iniziato a venire da tutto il mondo che ha installato add-ons non verificare più e sono portatori di conseguenza. Gli utenti possono scaricare e installare gli add-ons di Mozilla AMO più.
Gli ultimi dati mostrano che circa il 60% degli utenti di Firefox installare gli add-on nel browser; qualsiasi problema che affligge il 60% della base utenti, soprattutto quando si tratta di scelte personali fatte dagli utenti, è fondamentale, come si arriva.
Mozilla risolto il problema in fretta per la maggior parte degli utenti. Rapidamente ha fatto comunque che alcuni utenti hanno dovuto aspettare giorni per il loro add-ons a lavorare di nuovo, mentre altri, specialmente quelli più anziani non supportato versioni, dovrà ancora attendere un po ‘ più a lungo prima che le patch sono disponibili.
Mozilla è scusato sul blog ufficiale dell’organizzazione di oggi. La società riconosce che non è riuscito e che mi dispiace per quello che è successo. L’organizzazione usate lo Scudo per consegnare le correzioni agli utenti in modo rapido. Poiché è necessaria l’attivazione di Telemetria nel browser, significa che i dati possono essere registrati.
Mozilla ha annunciato nel post che tutti Telemetria e di Studi i dati raccolti tra il 5 Maggio e l ‘ 11 Maggio sarà eliminato.
In ordine al rispetto dei nostri utenti potenziali intenzioni per quanto possibile, sulla base dell’attuale set up, ci sarà l’eliminazione di tutti la nostra fonte di Telemetria e di Studi i dati per la nostra intera popolazione di utenti raccolti tra 2019-05-04T11:00:00Z e 2019-05-11T11:00:00Z.
Mozilla CTO Eric Rescorla pubblicato un’analisi tecnica del problema Mozilla Hack blog. Egli fornisce intuizioni di Firefox add-on per la firma di funzionalità.
La radice del certificato utilizzato per firmare un nuovo certificato intermedio e intermedio certificato utilizzato per firmare certificati finali, che a sua volta segno singoli componenti aggiuntivi.
Il certificato intermedio che deve essere rinnovato ogni pochi anni, ed è per questo rinnovo che non è accaduto.
Ogni certificato ha un determinato periodo di tempo durante il quale è valido. Prima o dopo questa finestra, il certificato non sarà accettato, e un add-on ha firmato con il certificato non può essere caricato in Firefox. Purtroppo, il certificato intermedio eravamo scaduto solo dopo 1 UTC del 4 Maggio, e immediatamente ogni add-on che è stato firmato con il certificato diventare non verificabili e non può essere caricato in Firefox.
Mozilla ha deciso di generare un nuovo certificato e installarlo in remoto in Firefox per risolvere il problema.
Post mortem è in lavorazione e verrà rilasciata a breve. Mozilla promette di includere un elenco di modifiche l’organizzazione intende attuare per evitare qualsiasi problema critico come questo in futuro.
Rescorla pensa che questo dovrebbe includere il monitoraggio di eventuali “bomba a tempo” componenti di Firefox web browser per risolvere qualsiasi problema, prima di raggiungere gli utenti, un nuovo sistema per spingere gli aggiornamenti per gli utenti che non necessitano di Telemetria/Studi, e anche un’occhiata al add-on di architettura.
Parole Di Chiusura
Penso che siamo tutti d’accordo che qualcosa come l’add-on disattivazione problema non sarebbe mai dovuto accadere in primo luogo. È accaduto, purtroppo. Mozilla ha reagito rapidamente per risolvere il problema. Sì, alcuni utenti avrebbero voluto una migliore informazione politica di aggiornamenti più veloci, ma Mozilla non hanno davvero molte opzioni per risolvere il problema in fretta, soprattutto perché è successo più di una settimana.
Mozilla ha bisogno di implementare misure di sicurezza per assicurarsi che questo non accada di nuovo. L’organizzazione non disattivare l’intero add-on per la firma di infrastrutture del browser Firefox, che è chiara.