В феврале появилось сообщение об обязательном требовании наличия цифровой подписи у дополнений к продуктам Mozilla. По мнению разработчиков, это поможет эффективнее противостоять вредоносным дополнениям, которые зачастую устанавливаются сторонними программами. Сейчас борьба с такими дополнениями осуществляется через специальный «черный список», но туда вносятся лишь известные вредоносы, которые уже успели сделать своё грязное дело. Mozilla сочла необходимым перейти к превентивным мерам.
Цифровую подпись смогу получить лишь дополнения, помещённые разработчками в официальный каталог дополнений (AMO), и проверенные модераторами. Дополнения, не размещенные на AMO (такие, например, как HTTPS Everywhere или предрелизные версии дополнений), невозможно будет установить на стабильные, бета- и LTS-версии продуктов Mozilla. И не будет никаких способов отключить эту систему безопасности (иначе вредоносные программы смогли бы просто её выключать и по-прежнему устанавливать свои дополнения).
Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.
Предусмотрено автоматическое подписывание ранее размещённых дополнений (чтобы не потерять те, которые уже заброшены), но лишь самых их последних версий. Это, фактически, ставит крест на использовании предыдущих версий, а также лишает пользователей возможности после выхода очередной версии браузера установить свежую версию дополнения из репозитория разработчика или вручную исправить дополнение, вместо того, чтобы ожидать публикации и одобрения модераторов на AMO.
Некоторые дополнения уже получили цифровую подпись. Установка неподписанных дополнений будет полностью заблокирована в Firefox 40.
>>> Подробности
