Mozilla a annoncé en février 2015 qu’elle aurait besoin de add-ons pour être signé dans un avenir proche afin d’améliorer la sécurité et la confidentialité pour les utilisateurs du navigateur.
L’idée ici était de réduire le nombre de malveillant extensions publié pour le navigateur et ici en particulier ceux qui ne sont pas distribués via Mozilla site web par le biais de la vérification des signatures.
La seule option Mozilla a bloquer malveillants modules complémentaires actuellement est de les ajouter à la liste rouge mondiale, mais qui exige que Mozilla sait au sujet de la prolongation et c’est généralement quand le mal est déjà fait.
Ajouter à la signature impacts sur les utilisateurs et les développeurs, à des degrés divers. Add-on pour les développeurs doivent soumettre leurs add-ons de Mozilla, indépendamment de s’ils ont l’intention de le libérer sur Mozilla AMO ou pas.
Bien qu’il soit théoriquement possible de passer de la soumission, cela voudrait dire que seuls les Dev et Nocturnes, les utilisateurs peuvent installer l’add-on que ce sont les deux seules chaînes dont la signature n’est pas obligatoire.
Unsigned add-ons seront bloqués dans Stable, Bêta et ESR versions de Firefox une fois la fonctionnalité des terres avec aucune option pour remplacer la fonction dans les préférences du navigateur ou sur le about:config de la page.
Cela inclut tous les add-ons installés dans le navigateur qui ne sont pas signés et également toutes les extensions avec des modifications (qui, selon Mozilla doivent être soumis ensuite pour la signature).
La plus récente version des add-ons actuellement hébergé sur l’AMO et la toute nouvelle version téléchargées par les développeurs seront signés automatiquement. Mozilla déjà mentionné que ce ne sera pas le cas pour les anciennes versions.
Les développeurs qui n’ont pas téléchargé leurs extensions AMO encore, HTTPS Everywhere est un premier exemple, ont besoin de le faire si ils veulent que leurs add-ons pour rester à la disposition Stable, Bêta et ESR utilisateurs.
Si vous exécutez la version stable de Firefox, vous avez remarqué qu’à ajouter à la signature de a déjà commencé.
Lorsque vous ouvrez le gestionnaire de modules complémentaires du navigateur, en chargeant about:addons par exemple, vous pouvez déjà voir quelques signé add-ons qui y sont énumérés.
J’ai vérifié Firefox Stable, Dev et tous les Soirs, mais seulement la version stable du navigateur répertorié les NoScript add-on comme signé.
La signature n’a pas d’impact à l’heure actuelle comme elle n’est pas appliquée.
Pale Moon utilisateurs, d’autre part ont été touchés négativement par ce que les incidents ont été causés par les extensions de mal formaté signatures ou des fichiers de manifeste. Aujourd’hui, mise à jour Pâle de la Lune 25.3.2 résout le problème.
Les développeurs de la tierce partie du navigateur déjà mentionné qu’ils ne seront pas en œuvre les ajouter à la signature dans le navigateur.
Initialement prévu pour être publié dans Firefox 39 add-on de signature est maintenant en voie d’être libérés avec Firefox 40.
Des informations supplémentaires sont disponibles sur Mozilla Wiki du site web et le principal de suivi de bogues.