af Martin Brinkmann Maj 10, 2019 i Firefox – 1 kommentar
Den sidste uge har ikke været gode til Mozilla. Sidste fredag, rapporter begyndte at komme ind fra hele verden, der er installeret add-ons vil ikke bekræfte længere, og blev deaktiveret som følge heraf. Brugerne kan ikke downloade og installere add-ons fra Mozilla AMO længere enten.
De seneste tal viser, at omkring 60% af Firefox-brugere installere tilføjelsesprogrammer i browseren; ethvert spørgsmål, der påvirker 60% af brugerbase, især når det kommer til personlige valg, der foretages af de brugere, som er kritiske, da det bliver.
Mozilla løst problemet hurtigt for de fleste brugere. Hurtigt stadig betydet, at nogle brugere var nødt til at vente dage for deres add-ons til at arbejde igen, mens andre, især dem om ældre, der ikke understøttes udgivelser, vil stadig nødt til at vente lidt længere, før de patches.
Mozilla undskyldte på den officielle blog for organisationen i dag. Selskabet anerkender, at det mislykkedes, og at det er ked af, hvad der er sket. Den organisation, der anvendes Skjoldet service til at levere rettelser, at brugerne hurtigt. Da det krævede, at aktivering af Telemetri i browseren, betød det, at data ville blive optaget.
Mozilla annoncerede i stillingen, at alle Telemetri og Undersøgelser af data indsamlet mellem den 5. Maj og 11 Maj vil blive slettet.
For at respektere vores brugere’ potentielle intentioner, lige så meget som muligt, baseret på vores nuværende sæt op, vil vi slette alle vores kilde Telemetri og Undersøgelser af data for hele vores brugeren befolkning, der er indsamlet mellem 2019-05-04T11:00:00Z og 2019-05-11T11:00:00Z.
Mozilla CTO Eric Rescorla offentliggjort en teknisk analyse af spørgsmålet om Mozilla Hacks blog. Han giver indsigt i Firefox ‘ s add-on-signering funktionalitet.
Rod-certifikatet bruges til at underskrive en ny mellemliggende certifikat, og det mellemliggende certifikat, der er brugt til at signere ende-enhed certifikater, der igen tegn enkelte add-ons.
Det mellemliggende certifikat skal fornyes hvert år, og det er dette en fornyelse, som ikke sker.
Hvert certifikat har en fast periode, hvor det er gyldigt. Før eller efter dette vindue, og certifikatet vil ikke blive accepteret, og en add-on underskrevet med, at certifikatet ikke kan indlæses i Firefox. Desværre, det mellemliggende certifikat vi med udløb lige efter 1 UTC den 4 Maj, og straks hver add-on, der var underskrevet med det certifikat, der bliver umulige at kontrollere og kunne ikke lægges i Firefox.
Mozilla har besluttet at generere et nyt certifikat, og installere det på afstand i Firefox for at løse problemet.
En post mortem er i støbeskeen og vil blive frigivet snart. Mozilla lover, at det vil indeholde en liste af ændringer i organisationen har planer om at gøre for at undgå eventuelle kritiske spørgsmål som dette i fremtiden.
Rescorla mener, at dette bør omfatte overvågning af en “bombe” komponenter i Firefox web-browser til at løse ethvert problem, før det når frem til brugerne, et nyt system til at skubbe opdateringer til brugere, der ikke kræver Telemetri/Undersøgelser, og også et kig på den add-on arkitektur.
Afsluttende Ord
Jeg tror vi alle kan blive enige om at sådan noget som add-on deaktivering af spørgsmål bør aldrig være sket i første omgang. Det gjorde det til at ske, desværre. Mozilla reagerede hurtigt for at løse problemet. Ja, nogle brugere vil gerne have en bedre oplysning af opdateringer hurtigere, men Mozilla har ikke virkelig har så mange muligheder for at løse problemet hurtigt, især da det skete over en weekend.
Mozilla er nødt til at implementere sikkerhedsforanstaltninger for at sikre, at dette aldrig sker igen. Organisationen vil ikke deaktivere hele add-on underskrive infrastruktur af Firefox-browseren, det er klart.