(Afbeelding: Mozilla)
In het kielzog van de massa ongeschiktheid van Mozilla Firefox de add-on-ecosysteem afgelopen weekend, Mozilla heeft toegewijd aan de verbetering van de asset tracking en de ontwikkeling van een mechanisme dat kan snel push updates aan gebruikers wanneer dat nodig is.
Door een tussenliggend certificaat verstrijkt op 4 Mei op 1 am UTC gebruikers hun browser add-ons uitgeschakeld en kan niet opnieuw worden ingeschakeld. Dankzij de tijdzones en de rotatie van de planeet, gebruikers aan de westelijke kant van de Stille oceaan werden de eerste hit.
Het schrijven in een blog post, Firefox CTO Eric Rescorla gedetailleerde enkele eerste gedachten en kondigde een formele post-mortem zou worden gepubliceerd volgende week.
“Eerst moeten we een veel betere manier van het bijhouden van de status van de alles in Firefox, dat is een potentiële tijdbom en ervoor te zorgen dat we niet terechtkomen in een situatie waar men uit gaat onverwacht. We werken nog steeds op de details hier, maar op het minimum moeten we de inventarisatie van alles van deze aard,” Rescorla schreef.
“Ten tweede moeten we een mechanisme in staat zijn om snel op de updates van onze gebruikers, zelfs wanneer — vooral wanneer het — alles wat anders is.
“Tot slot, kijken we meer in het algemeen op onze add-on security architectuur om ervoor te zorgen dat het handhaven van de juiste security-eigenschappen bij het minste risico van breuk.”
Rescorla, zei de browser maker beschouwd als het gebruik van een Firefox-point release om de datum te wijzigen gebruikt voor het valideren van het certificaat is verlopen. Het wordt ook beschouwd als het genereren van een vervangend certificaat is geldig als het is uitgewerkt hoe het te krijgen op de bestaande gebruikers van Firefox. De laatste was de uiteindelijke manier armagadd-op beperkt werd voor Firefox 66.0.4 werd uitgebracht.
De Firefox-Normandië Studies mechanisme werd gekozen voor een nieuw systeem add-on met het nieuwe certificaat uit aan gebruikers — het mechanisme is eerder uitgevoerd onsportief van gebruikers voor het duwen van ongewenste code.
Reageren op de kritiek op hoe lang het duurde Mozilla te duwen van een fix, Rescorla zei, was de reactie “heel goed” vanuit een staande start.
“Ten eerste, het duurde een tijdje voor de afgifte van het nieuwe intermediate certificaat … het root certificaat is in een hardware security module die is opgeslagen offline. Dit is een goede beveiliging van de praktijk, gebruik je het root-zeer zelden, en u wilt daarom dat het veilig is, maar het is natuurlijk wat lastig als je wilt tot de uitgifte van een nieuw certificaat op een noodsituatie basis,” schreef hij.
“Ten tweede, het ontwikkelen van het systeem add-on kost wat tijd. Het is conceptueel zeer eenvoudige, maar ook eenvoudige programma ‘ s moeten nemen van een aantal zorg, en we wilden ervoor zorgen dat we het niet erger maken.”
Dankzij Firefox alleen het controleren van Normandië updates elke 6 uur, het duurde een tijdje voor de update doorgeven aan gebruikers, Rescorla zei, terwijl voor degenen die niet zijn gekozen in Normandië, het probleem zou worden opgelost door middel van een point release die zullen worden gemaakt op een later tijdstip.
Als gebruikers die had gekozen uit Normandië nodig om over te schakelen op het mechanisme om te herstellen van add-on functionaliteit, Mozilla zei dat het verwijderen van een week, van telemetrie verzameld via Studies voor de gehele gebruikersgroep.
De Firefox-CTO ook toegegeven dat gebruikers van verloren data in sommige gevallen, en het is iets dat zal nader moeten worden bekeken. Hij voegde eraan toe dat een nieuwe methode moet worden gemaakt voor gebruikers om snel updates krijgen als ze hadden gekozen uit Normandië.
“De update-kanaal moet sneller reageren dan wat we vandaag hebben. Zelfs op maandag, moesten we nog een aantal gebruikers die niet had opgepikt, hetzij de hotfix of de dot-release, die duidelijk niet ideaal,” schreef hij.
Samengevat Rescorla zei het Firefox-team deed “fantastisch werk” in de scheepvaart een oplossing in minder dan 12 uur van het eerste gemeld.
“Als iemand die zat in de vergadering waar het is gebeurd, kan ik zeggen dat mensen bezig waren ongelooflijk hard in een moeilijke situatie en die heel weinig tijd verspild.”
Verwante Dekking
Firefox add-ons uitgeschakeld en masse na Mozilla certificaat probleem
Firefox gebruikers melden dat de invoegtoepassingen zijn uitgeschakeld, is niet in staat om te re-activeren of te (her) installeren van extensies.
Microsoft security chief: IE is niet een browser, dus stoppen met het gebruik als de standaard
Internet Explorer is een ‘compatibiliteit oplossing’ en mag alleen gebruikt worden selectief, waarschuwt Microsoft exec.
Voormalige Mozilla exec: Google heeft gesaboteerd Firefox voor het jaar
Voormalige en huidige Mozilla ingenieurs zijn het bereiken van hun kookpunt.
Firefox toevoegen Tor Browser anti-fingerprinting techniek genaamd letterboxing
Firefox krijgt een nieuwe functie van de Tor te Verheffen project ging van start in 2016.
Hoe Mozilla maakt gebruik van AI voor het beheren van Firefox bug reports (TechRepublic)
Het bedrijf maakte een eigen artificial intelligence tool genaamd BugBug te classificeren en categoriseren van elke bug rapport.
Verwante Onderwerpen:
Veiligheid
Cloud
Big Data Analytics
Innovatie
Tech en Werk
Samenwerking