par Martin Brinkmann le 10 Mai 2019 dans Firefox – 1 commentaire
La dernière semaine n’a pas été idéal pour Mozilla. Vendredi dernier, des rapports ont commencé à affluer de partout dans le monde qui a installé les add-ons ne permettrait pas de vérifier plus et ont été désactivés en conséquence. Les utilisateurs ne pouvaient pas télécharger et installer les add-ons de Mozilla AMO de plus, soit.
Les derniers chiffres montrent qu’environ 60% des utilisateurs de Firefox installer des add-ons dans le navigateur; tout problème affectant 60% de la base d’utilisateurs, surtout quand il s’agit de choix personnels faits par les utilisateurs, est aussi critique qu’il obtient.
Mozilla résolu le problème rapidement pour la plupart des utilisateurs. Rapidement signifie encore que certains utilisateurs avaient à attendre des jours pour les add-ons de travailler à nouveau, tandis que d’autres, en particulier ceux sur les anciens rejets non pris en charge, devra encore attendre un peu plus longtemps avant de les patchs sont fournis.
Mozilla s’est excusé sur le blog officiel de l’organisation aujourd’hui. La société reconnaît qu’elle n’a pas et qu’il est désolé pour ce qui s’est passé. L’organisation a utilisé le Bouclier de service pour fournir des correctifs pour les utilisateurs rapidement. Car il nécessite l’activation de la Télémétrie dans le navigateur, cela signifie que les données seront enregistrées.
Mozilla a annoncé dans le post que l’ensemble de la Télémétrie et des Études sur des données recueillies entre le 5 Mai et le 11 Mai sera supprimé.
Afin de respecter nos utilisateurs potentiels, les intentions, autant que possible, sur la base de notre jeu actuel, nous allons supprimer tous les de notre source de Télémétrie et de données d’Études pour l’ensemble de notre population d’utilisateurs recueillies entre 2019-05-04T11:00:00Z et 2019-05-11T11:00:00Z.
Mozilla CTO Eric Rescorla publié une analyse technique de la question sur la Mozilla Hacks blog. Il fournit un aperçu de Firefox add-on de la signature de la fonctionnalité.
Le certificat racine est utilisée pour signer un nouveau certificat intermédiaire, et le certificat intermédiaire est utilisée pour signer la fin de l’entité certificats qui, à son tour signe individuel add-ons.
L’intermédiaire certificat doit être renouvelé tous les deux ans, et c’est ce renouvellement qui n’est pas arrivé.
Chaque certificat a une durée pendant laquelle elle est valable. Avant ou après cette fenêtre, le certificat ne sera pas accepté, et un add-on signé avec le certificat ne peut pas être chargé dans Firefox. Malheureusement, le certificat intermédiaire, nous avons été à l’aide expiré juste après 1H du matin UTC le 4 Mai, et immédiatement tous les add-on qui a été signé avec le certificat de devenir incontrôlable et n’a pas pu être chargé dans Firefox.
Mozilla a décidé de générer un nouveau certificat et de l’installer à distance dans Firefox pour résoudre le problème.
Une autopsie est en préparation et sera publié prochainement. Mozilla promet qu’il va inclure une liste des changements que l’organisation compte faire pour éviter tout problème critique de ce genre dans l’avenir.
Rescorla pense que cela doit inclure la surveillance d’une “bombe à retardement” composants dans le navigateur web Firefox régler tout problème avant qu’il n’atteigne les utilisateurs, un nouveau système de pousser les mises à jour pour les utilisateurs qui ne nécessite pas de Télémétrie/Études, et aussi un coup d’oeil à l’add-on de l’architecture.
Le Mot De La Fin
Je pense que nous pouvons tous convenir que quelque chose comme l’add-on de désactivation de la question ne devrait jamais arrivé à la première place. Il arrive, malheureusement. Mozilla a réagi rapidement pour résoudre le problème. Oui, certains utilisateurs auraient aimé une meilleure politique d’information des mises à jour plus rapides, mais Mozilla n’a pas vraiment eu de nombreuses options pour résoudre le problème rapidement, surtout depuis qu’il s’est passé un week-end.
Mozilla doit mettre en place des garanties pour s’assurer que cela ne se reproduise jamais. L’organisation de ne pas désactiver l’ensemble de l’ajouter à la signature de l’infrastructure du navigateur Firefox, c’est clair.