av Martin Brinkmann Mai 10, 2019 i Firefox – 10 kommentarer
Den siste uken har ikke vært bra for Mozilla. Sist fredag, rapporter begynte å strømme inn fra hele verden som er installert add-ons vil ikke bekrefte lenger, og ble deaktivert som en konsekvens. Brukere kan ikke laste ned og installere add-ons fra Mozilla AMO lenger heller.
De nyeste tallene viser at om lag 60% av Firefox-brukere installerer tilleggsprogrammer i nettleseren, og eventuelle problem som påvirker 60% av brukermassen, spesielt når det kommer til personlige valg laget av disse brukerne, er like viktig som det blir.
Mozilla har løst problemet raskt for de fleste brukere. Raskt fortsatt ment som noen brukere måtte vente dager for sin add-ons til å fungere igjen, mens andre, særlig de på eldre som ikke støttes utgivelser, vil fortsatt vente litt lengre tid før oppdateringer er tilgjengelig.
Mozilla beklaget på den offisielle bloggen til organisasjonen i dag. Selskapet erkjenner at det mislyktes, og at det er synd om hva som har skjedd. Organisasjonen brukte Skjold-tjenesten til å levere løsninger til brukerne raskt. Siden det kreves aktivering av Telemetri i nettleseren, og det betydde at data ville bli tatt opp.
Mozilla kunngjorde i innlegget som alle Telemetri og Studier data samlet inn mellom 5. Mai og 11. Mai vil bli slettet.
For å respektere brukernes potensial intensjoner så mye som mulig, basert på vår nåværende satt opp, vil vi slette alle våre kilde Telemetri og Studier data for hele vårt brukeren befolkningen samlet inn mellom 2019-05-04T11:00:00Z og 2019-05-11T11:00:00Z.
Mozilla administrerende direktør Eric Rescorla publisert en teknisk analyse av problemet på Mozilla Hacks blogg. Han gir innsikt i Firefox add-on signatur-funksjonalitet.
Rot-sertifikatet er brukt til å signere en ny mellomliggende sertifikat, og det mellomliggende sertifikatet er brukt til å signere end-enhet sertifikater som i sin tur logg individuelle tillegg.
Det mellomliggende sertifikat må fornyes hvert femte år, og det er denne fornye det ikke skjedde.
Hvert sertifikat har en fast periode som den er gyldig. Før eller etter denne vinduet, sertifikatet vil ikke bli akseptert, og en add-on signert med at sertifikatet ikke kan lastes inn i Firefox. Dessverre, det mellomliggende sertifikat var vi bruker utløpt bare etter 1 AM UTC Mai 4, og umiddelbart hver add-on som ble signert med at sertifikatet blir ubeviselig og kunne ikke lastes inn Firefox.
Mozilla bestemte meg for å generere en ny sertifikat og installere den eksternt i Firefox for å løse problemet.
En post mortem er i arbeid, og vil bli lansert snart. Mozilla lover at det vil inneholde en liste over endringer i organisasjonen planer om å gjøre å unngå eventuelt kritisk sak som dette i fremtiden.
Rescorla mener at dette bør omfatte overvåking av alle “tikkende bombe” komponenter i Firefox nettleser for å løse et problem før det når frem til brukerne, et nytt system for å presse oppdateringer til brukere som ikke krever Telemetri/Studier, og også en titt på legg-på-arkitektur.
Avsluttende Ord
Jeg tror at vi kan alle enige om at noe som add-on for å deaktivere saken burde aldri ha skjedd i første omgang. Det gjorde skje, dessverre. Mozilla reagerte raskt å løse problemet. Ja, noen brukere ville ha likt en bedre informasjon politikk raskere oppdateringer, men Mozilla har egentlig ikke har så mange alternativer for å løse problemet raskt, spesielt siden det skjedde i løpet av en helg.
Mozilla behov for å gjennomføre sikringstiltak for å sørge for at dette aldri skjer igjen. Organisasjonen vil ikke deaktivere hele add-on signering infrastruktur for nettleseren Firefox, som er klart.