(Billede: Mozilla)
I kølvandet af den masse, invalidering af Mozilla Firefox ‘ s add-on-økosystem i sidste weekend, Mozilla har forpligtet sig til at forbedre sin asset tracking og udvikle en mekanisme, der hurtigt kan skubbe opdateringer til brugerne, når det er nødvendigt.
På grund af en mellemliggende certifikat, som udløber den Maj 4 på 1 am UTC, brugere fundet deres browser add-ons blev slukket og kan ikke aktiveres igen. Tak til tidszoner og rotation af planeten, brugere på den vestlige side af Stillehavet var det første hit.
Du skriver i et blog-indlæg, Firefox CTO Eric Rescorla detaljerede nogle indledende tanker og annoncerede en formel post-mortem vil blive offentliggjort i næste uge.
“Det første, vi bør have en langt bedre måde at spore status for alt i Firefox, som er en potentiel bombe, og sørge for at vi ikke befinder os i en situation, hvor man slukker uventet. Vi arbejder stadig på detaljerne her, men i det mindste er vi nødt til opgørelse alt af denne art,” Rescorla skrev.
“Det andet, vi har brug for en mekanisme til at være i stand til hurtigt at skubbe opdateringer til vores brugere, selv når — — især når alt andet er nede.
“Endelig, vi vil se mere generelt på vores add-on security arkitektur til at gøre sikker på, at det er at håndhæve de rigtige sikkerhedsmæssige egenskaber og med mindst risiko for brud.”
Rescorla sagde browser kaffefaciliteter overvejet at bruge en Firefox punktopdatering at ændre den dato, der anvendes til at validere certifikatet er udløbet. Det er også anses for at generere en udskiftning certifikat, der er gyldigt som det fungerede ud af, hvordan at få det til at eksisterende Firefox-brugere. Sidstnævnte var den endelige måde armagadd-den var dæmpet, før Firefox 66.0.4 blev udgivet.
Firefox Normandiet Undersøgelser mekanisme, der blev valgt til at få et nyt system add-on, der indeholder det nye certifikat ud til brugerne-den mekanisme, der tidligere har kørt fejl af brugere til at skubbe uønsket kode.
At svare på kritikken på, hvor lang tid det tog Mozilla til at skubbe en rettelse, Rescorla sagde, at svaret var “ganske godt” fra en stående start.
“Det første, det tog et stykke tid at udstede de nye mellemliggende certifikat … rodcertifikatet er i et hardware security module, som er gemt offline. Det er en god sikkerhed i praksis, som du bruger root meget sjældent, og så du vil have det til at være sikker, men det er selvfølgelig lidt besværligt, hvis du ønsker at udstede en ny attest på en krisesituation,” skrev han.
“For det andet, at udvikle systemet add-on, tager det lidt tid. Det er begrebsmæssigt meget enkel, men selv simple programmer kræver, at du tager nogle pleje, og vi ønskede virkelig at gøre sikker på, at vi ikke gør tingene værre.”
Tak til Firefox kun kontrol Normandiet opdateringer hver 6 timer, det tog et stykke tid for opdatering for at blive overført til brugerne, Rescorla sagde, mens det for dem, der ikke er valgt til Normandiet, udstedelse vil blive fastsat gennem en punktopdatering, der vil blive stillet på et senere tidspunkt.
Som brugere, der havde valgt ud af Normandiet er nødvendige for at tænde mekanisme til at gendanne add-on funktionalitet, Mozilla sagde, at det ville slette en uge værd af telemetri, der er indsamlet via Undersøgelser for hele sin brugerbase.
Firefox CTO også erkendt, at brugerne mistede data i nogle tilfælde, og det er noget, der bliver nødt til at blive kigget på. Han tilføjede også, at en ny metode bliver nødt til at være skabt for, at brugerne hurtigt kan få opdateringer, hvis de havde valgt ud af Normandiet.
“Opdateringen kanal skal være mere lydhør end hvad vi har i dag. Selv på mandag, havde vi stadig nogle brugere, der ikke havde afhentet enten det hotfix eller den prik udgivelse, som klart ikke er ideelle,” skrev han.
Alt i alt, Rescorla sagde Firefox team gjorde et fantastisk arbejde” i shipping en rettelse i mindre end 12 timer fra det første bliver rapporteret.
“Som en person, der sad i møde, hvor det er sket, jeg kan sige, at folk arbejdede utroligt hårdt i en svær situation, og at meget lidt tid blev spildt.”
Relaterede Dækning
Firefox add-ons handicappede i massevis efter Mozilla certifikat spørgsmål
Firefox-brugere angiver at have add-ons handicappede, der ikke er i stand til at re-aktivere eller (gen) installere udvidelser.
Microsoft-chef: IE er ikke en browser, så stop med at bruge den som din standard
Internet Explorer er en ‘kompatibilitet løsning”, og bør kun bruges til selektivt, advarer Microsoft exec.
Tidligere Mozilla exec: Google har saboteret Firefox for år
Tidligere og nuværende Mozilla ingeniører er ved at nå deres kogepunkter.
Firefox for at tilføje Tor Browser anti-fingeraftryk teknik kaldet letterboxing
Firefox får en anden ny feature fra Tor Hævning projektet startede i 2016.
Hvordan Mozilla bruger AI til at styre Firefox fejlrapporter (TechRepublic)
Virksomheden har oprettet en hjemmedyrket kunstig intelligens værktøj døbt BugBug til at klassificere og kategorisere hver fejlrapport.
Relaterede Emner:
Sikkerhed
Cloud
Big Data Analytics
Innovation
Tech og Arbejde
Samarbejde