LINUX.ORG.RU

Технические подробности недавнего отключения дополнений в Firefox

 , ,


5

4

Прим. переводчика: для удобства читателей даты приведены по московскому времени

Недавно мы пропустили момент истечения срока действия одного из сертификатов, используемых для подписи дополнений. Это привело к отключению дополнений у пользователей. Теперь, когда по большей части проблема исправлена, я хотел бы рассказать о подробностях произошедшего и о проделанной работе.



Подоплёка: дополнения и подписи

Хотя многие используют браузер «из коробки», Firefox поддерживает расширения, называемые «дополнениями». С их помощью пользователи добавляют в браузер различные возможности. Существует свыше 15 тысяч дополнений: от блокировки рекламы до управления сотнями вкладок.

Установленные дополнения должны иметь цифровую подпись, которая защищает пользователей от вредоносных дополнений, и требует минимальной проверки дополнений сотрудниками Mozilla. Мы ввели это требование в 2015 году, поскольку испытывали серьёзные проблемы с вредоносными дополнениями.

Как это работает: каждая копия Firefox содержит «корневой сертификат». Ключ от этого «корня» хранится в модуле аппаратной защиты (HSM), не имеющем доступа к сети. Каждые несколько лет этим ключом подписывается новый «промежуточный сертификат», который используется при подписании дополнений. Когда разработчик присылает дополнение, мы создаём временный «конечный сертификат» и подписываем его, используя промежуточный сертификат. Затем конечным сертификатом подписывается само дополнение. Схематично это выглядит так.

Обратите внимание: у каждого сертификата есть «субъект» (кому выдан сертификат) и «издатель» (кто выдал сертификат). В случае корневого сертификата «субъект» = «издатель», но для других сертификатов издателем сертификата является субъект вышестоящего сертификата, которым тот подписан.

Важный момент: каждое дополнение подписано уникальным конечным сертификатом, но почти всегда эти конечные сертификаты подписаны одним и тем же промежуточным сертификатом.

Примечание автора: исключение — очень старые дополнения. В то время использовались различные промежуточные сертификаты.

Этот промежуточный сертификат вызвал проблемы: каждый сертификат действителен в течение определённого периода. До или после этого периода сертификат недействителен, и браузер не будет использовать дополнения, подписанные этим сертификатом. К сожалению, срок действия промежуточного сертификата истёк 4 мая в 4 часа утра.

Последствия проявились не сразу. Firefox проверяет подписи установленных дополнений не постоянно, а примерно раз в 24 часа, причём время проверки индивидуально для каждого пользователя. В результате, у некоторых людей проблемы возникли сразу же, у некоторых гораздо позже. Мы впервые узнали о проблеме примерно в тот момент, когда истёк срок действия сертификата, и сразу начали искать решение.


Снижаем ущерб

Как только мы поняли, что случилось, то попытались не допустить ухудшения ситуации.

Во-первых, прекратили принимать и подписывать новые дополнения. Нет смысла использовать для этого просроченный сертификат. Оглядываясь назад, я бы сказал, что можно было бы оставить всё как есть. Сейчас приём дополнений возобновлён.

Во-вторых, немедленно разослали исправление, которое предотвратило ежесуточную проверку подписей. Таким образом, мы спасли тех пользователей, у которых браузер за последние сутки ещё не успел проверить дополнения. Сейчас это исправление отозвано, необходимости в нём больше нет.


Параллельная работа

Теоретически, решение проблемы выглядит просто: создаём новый действительный промежуточный сертификат и переподписываем каждое дополнение. К сожалению, это не сработает:

  • мы не можем быстро переподписать 15 тысяч дополнений разом, система не рассчитана на такую нагрузку
  • после того, как подпишем дополнения, обновлённые версии нужно доставить пользователям. Большинство дополнений устанавливается с серверов Mozilla, поэтому в ближайшие сутки Firefox найдёт обновления, но некоторые разработчики распространяют подписанные дополнения по сторонним каналам, поэтому пользователям пришлось бы обновлять такие дополнения вручную

Вместо этого мы попытались разработать такое исправление, которое достигло бы всех пользователей, при этом не требуя (или почти не требуя) действий с их стороны.

Довольно быстро мы пришли к двум основным стратегиям, которые и использовали параллельно:

  • Обновить Firefox, чтобы изменить период действия сертификата. Это заставит существующие дополнения волшебным образом работать снова, но потребует выпуска и доставки новой сборки Firefox
  • Создать действительный сертификат и каким-то образом убедить Firefox принять его вместо существующего, срок действия которого истёк

Мы решили сначала использовать первый вариант, который выглядел вполне рабочим. В конце дня выпустили и второе исправление (новый сертификат), о котором поговорим далее.


Замена сертификата

Как я упомянул выше, требовалось:

  • создать новый действительный сертификат
  • удалённо установить его в Firefox

Чтобы понять, почему это сработает, рассмотрим подробнее процесс проверки дополнения. Само дополнение поставляется в виде набора файлов, включая цепочку сертификатов, используемых для подписи. В результате, дополнение может быть проверено, если браузеру известен корневой сертификат, который встраивается в Firefox во время сборки. Однако, как мы уже знаем, промежуточный сертификат просрочен, поэтому проверить дополнение невозможно.

Когда Firefox пытается проверить дополнение, он не ограничивается использованием сертификатов, содержащихся внутри самого дополнения. Вместо этого браузер пытается создать действительную цепочку сертификатов, начиная с конечного сертификата и продолжает, пока не доберётся до корня. На первом уровне начинаем с конечного сертификата, а затем находим сертификат, субъект которого является издателем конечного сертификата (то есть, промежуточный сертификат). Обычно этот промежуточный сертификат поставляется вместе с дополнением, но в этой роли также может выступать любой сертификат из хранилища браузера. Если мы сможем удалённо добавить в хранилище сертификатов новый действительный сертификат, Firefox попытается его использовать. Ситуация до и после установки нового сертификата.

После установки нового сертификата у Firefox будет два варианта при проверке цепочки сертификатов: использовать старый недействительный сертификат (который не будет работать), либо новый действительный (который будет работать). Важно, что новый сертификат содержит те же имя субъекта и открытый ключ, что и старый сертификат, поэтому его подпись на конечном сертификате будет действительна. Firefox достаточно умён, чтобы попробовать оба варианта, пока не найдёт работающий, поэтому дополнения снова станут проверенными. Обратите внимание, это та же логика, которую мы используем для проверки сертификатов TLS.

Примечание автора: читатели, знакомые с WebPKI, заметят, что точно так же работают перекрёстные сертификаты.

Самое замечательное в этом исправлении то, что оно не требует переподписывать существующие дополнения. Как только браузер получит новый сертификат, все дополнения вновь заработают. Остаётся сложность с тем, чтобы доставить новый сертификат пользователям (автоматически и удалённо), а также заставить Firefox перепроверить отключённые дополнения.


Normandy и система исследований

По иронии судьбы, эту проблему решает специальное дополнение, называемое «системным». Чтобы проводить исследования, мы разработали систему под названием Normandy, которая доставляет исследования пользователям. Эти исследования автоматически выполняются в браузере, и имеют расширенный доступ к внутренним API-интерфейсам Firefox. Исследования могут добавлять новые сертификаты в хранилище сертификатов.

Примечание автора: мы не добавляем сертификат с какими-то особыми привилегиями; он подписан корневым сертификатом, поэтому Firefox ему доверяет. Мы просто добавляем его в пул сертификатов, которые могут быть использованы браузером.

Таким образом, решение состоит в том, чтобы создать исследование:

  • устанавливающее пользователям созданный нами новый сертификат
  • заставляющее браузер перепроверить отключённые дополнения, чтобы они снова заработали

«Но подожди», - скажете вы, «дополнения же не работают, как запустить системное дополнение?». Подпишем его новым сертификатом!


Собираем всё вместе… почему так долго?

Итак, план: выпустить новый сертификат для замены старого, создать системное дополнение и установить его пользователям через Normandy. Проблемы, как я говорил, начались 4 мая в 4:00, а уже в 12:44 того же дня, менее чем через 9 часов, мы отправили исправление в Normandy. Потребовалось ещё 6-12 часов, чтобы оно добралось до всех пользователей. Уже неплохо, но пользователи в Twitter спрашивают, почему мы не могли действовать быстрее.

Во-первых, требовалось время, чтобы выпустить новый промежуточный сертификат. Как я уже упоминал выше, ключ от корневого сертификата хранится автономно в аппаратном модуле безопасности. Это хорошо с точки зрения безопасности, поскольку корень используется очень редко и должен быть надёжно защищён, но это слегка неудобно, когда нужно экстренно подписать новый сертификат. Одному из наших инженеров пришлось ехать в хранилище HSM. Затем были неудачные попытки выдать правильный сертификат, а каждая попытка стоила одного-двух часов, затраченных на тестирование.

Во-вторых, некоторое время заняла разработка системного дополнения. Концептуально это очень просто, но даже простые программы требуют внимательности. Мы хотели убедиться, что не сделаем ситуацию ещё хуже. Исследование нужно протестировать перед отправкой пользователям. К тому же, дополнение должно быть подписано, но наша система подписывания дополнений была отключена, пришлось искать обходной путь.

Наконец, после того, как мы подготовили исследования к отправке, на развёртывание требовалось время. Браузер проверяет наличие обновлений Normandy каждые 6 часов. Не все компьютеры постоянно включены и подключены к интернету, поэтому нужно время, чтобы исправление распространилось среди пользователей.


Финальные шаги

Исследование должно исправить проблему у большинства пользователей, но доступно не всем. К некоторым пользователям требуется особый подход:

  • пользователи, которые отключили исследования или телеметрию
  • пользователи Android-версии (Fennec), где исследования не поддерживаются вовсе
  • пользователи кастомных сборок Firefox ESR на предприятиях, где невозможно включить телеметрию
  • пользователи, сидящие за MitM-прокси, поскольку наша система установки дополнений использует привязывание ключей (key pinning), которое не работает с такими прокси
  • пользователи устаревших версий Firefox, не поддерживающих исследования

Мы ничего не можем поделать с последней категорией пользователей — им всё равно следует обновиться до новой версии Firefox, потому что устаревшие имеют серьёзные незакрытые уязвимости. Мы знаем, что некоторые люди остаются на старых версиях Firefox, потому что хотят запускать старые дополнения, но многие из старых дополнений уже портированы под новые версии браузера. Для прочих пользователей мы разработали патч, который установит новый сертификат. Он был выпущен как багфикс-релиз (примечание переводчика: Firefox 66.0.5), поэтому люди получат его — скорее всего, уже получили — через обычный канал обновления. Если вы используете кастомную сборку Firefox ESR, обратитесь к своему мейнтейнеру.

Мы понимаем, что всё это не идеально. В некоторых случаях пользователи теряли данные дополнений (например, данные дополнения Multi-Account Containers).

Этого побочного эффекта не удалось избежать, но мы считаем, что в краткосрочной перспективе выбрали лучшее для большинства пользователей решение. В долгосрочной перспективе мы поищем иные, более совершенные архитектурные подходы.


Уроки

Во-первых, наша команда проделала потрясающую работу, создав и отправив исправление менее чем за 12 часов после обнаружения проблемы. Как человек, который присутствовал на совещаниях, могу сказать, что в этой сложной ситуации люди работали очень усердно и впустую было потрачено совсем немного времени.

Очевидно, что всего этого вообще не должно было произойти. Явно стоит скорректировать наши процессы, чтобы снизить вероятность подобных инцидентов и облегчить исправление последствий.

На следующей неделе мы опубликуем официальный post-mortem и список изменений, которые намереваемся внести. Пока что поделюсь своими мыслями. Во-первых, должен быть лучший способ отслеживать состояние того, что является потенциальной бомбой замедленного действия. Нужно быть уверенными, что мы не окажемся в ситуации, когда одна из них внезапно сработает. Мы ещё прорабатываем детали, но, как минимум, требуется провести учёт всех подобных вещей.

Во-вторых, нужен механизм быстрой доставки обновлений пользователям, даже тогда, когда — особенно когда — всё остальное не работает. Было здорово, что мы смогли использовать систему «исследований», но это несовершенный инструмент и он обладает некоторыми нежелательными побочными эффектами. В частности, мы знаем, что у многих пользователей включено автоматическое обновление, но они предпочли бы не участвовать в исследованиях (признаюсь, у меня они тоже отключены!). В то же время нам требуется способ прислать обновления пользователям, но, какой бы ни была внутренняя техническая реализация, пользователи должны иметь возможность подписаться на обновления (включая оперативные исправления), но отказаться от всего остального. Кроме того, канал обновления должен быть более отзывчивым, чем сейчас. Даже 6 мая ещё были пользователи, которые не воспользовались ни исправлением, ни новой версией. Над этой проблемой уже работали, но случившееся показало, насколько она важна.

Наконец, мы присмотримся к архитектуре безопасности дополнений, чтобы убедиться, что она обеспечивает должный уровень безопасности с минимальным риском что-то сломать.

На следующей неделе мы рассмотрим результаты более тщательного анализа случившегося, а пока буду рад ответить на вопросы по электронной почте: ekr-blog@mozilla.com

>>> Подробности

Ответ на: комментарий от anonymous

А для всех остальных это просто лишний хлам.

Конечно, вот ведь все тупые: понакупали комплюктеров, серверов, роутеров, свичей да ещё и админам, погромистам и прочим бездельникам за обслуживание всего этого хлама зряплату дают. Нет бы нанять бабушек со счётами.

h578b1bde ★☆ ()
Ответ на: комментарий от anonymous

Понял я это чисто случайно. Полгода жил без компьютера (точнее не со своим, т.е. был отрезан от всего своего тщательно настроенного рабочего окружения и кучи «полезных» файлов) и заметил, что ничего страшного не случилось, даже наоборот.

Молодец. А теперь расскажи о том как прекрасно жить без комплюктеров какому-нибудь мало-мальски серьёзному бизнесу.

h578b1bde ★☆ ()
Ответ на: комментарий от khrundel

Представь, что живёт девочка, ничем не отличающаяся от других, постит фоточки в инстаграмм, мечтает выйти замуж за миллионера. И вот по какой-то странной причине, местные задроты находят её инстаграмм и начинают на неё рукоблудствовать. Вопрос: обязана ли после этого девочка научиться программировать хотя бы на питоне или по прежнему имеет право постить фоточки и мечтать о принце на белом мерседесе?

какой яркий пример «перверзии пятилетнего мальчика» с сублимацией в информационные технологии ;)

то что странные в какой-то момент решили, что лис - их любовь вовсе не означает, что фурифокс вам чем-то обязан. Лиса всегда хотела быть браузером для широких масс.

вы зря так перенапрягаете верхний ганглий. Никто никого ни к чему не обязывает. Просто научная футурология давно доказала, что такие желания закончатся разбитым корытом - они будут браузером для никого.

anonymous ()
Ответ на: комментарий от h578b1bde

Серьезный это насколько? Ну вот директор фирмы моего знакомого. У него рабочее место: стол, на столе ноутбук с виндой с дефолтными настройками и смартфон (айфон хз какой модели). Всё. 5 раз в год в Австрию катается, штат около 50 человек. Торговля медикаментами. Параллельно занимает должность по найму (начальник отдела) в Газпроме.

anonymous ()
Ответ на: комментарий от h578b1bde

Ну я тебе привел пример, выше. В сумермаркетах всякие там расширения тоже не уперлись. Долбежка с расширениями больше для «творческого люда» с айтишным бэкграундом (прогеры, админы, некоторые дезигнеры/фотографы и менеджеры айти проектов).

anonymous ()
Ответ на: комментарий от anonymous

Ну и нахрена? Если так хочется копить страницы «на будущее», уже есть закладки, и функция запоминания всех открытых табов (или всех выделенных через шифт клик).

anonymous ()
Ответ на: комментарий от anonymous

Если так хочется копить страницы «на будущее», уже есть закладки, и функция запоминания всех открытых табов (или всех выделенных через шифт клик).

потому что ты дятел - клювом тук-тук по дереву ты тупо никогда не сталкивался с необходимостью найдя нужную инфу, оставлять для повторного обращения, на форумах, по отдельным коментам на странице. тупо закладки просто не годятся. объяснять почему - написано выше.

rambleon ()
Ответ на: комментарий от rambleon

Нет, дятел здесь ты, а я на форум скидывал тред, который собрал 7 звёздочек, и который решает эту задачу нормально, а не через жопу кочеркой, как ты любишь.

anonymous ()
Ответ на: комментарий от anonymous

Ну я тебе привел пример, выше. В сумермаркетах всякие там расширения тоже не уперлись. Долбежка с расширениями больше для «творческого люда» с айтишным бэкграундом (прогеры, админы, некоторые дезигнеры/фотографы и менеджеры айти проектов).

Как раз люди с айтишным бэкграундом проще переносят изменения ибо могут найти альтернативы и подстроить под свои потребности даже самое огороженное говно, хотя одебиливание интерфейса конечно же терпеть готовы не все. А вот расскажи бухгалтерше что та херовина, в которой она считает твою зряплату, ей не нужна — в следующем месяце будешь жрать хрен вместо еды.

h578b1bde ★☆ ()
Ответ на: комментарий от anonymous

У него рабочее место: стол, на столе ноутбук с виндой с дефолтными настройками и смартфон (айфон хз какой модели). Всё. 5 раз в год в Австрию катается, штат около 50 человек.

А зряплата этим 50 человекам на счётах считается или хотя бы на калькуляторе?

h578b1bde ★☆ ()
Ответ на: комментарий от anonymous

а я на форум скидывал тред, который собрал 7 звёздочек

аноним, не надо мне лапшу на уши вешать, иди гуляй, там гденить раскидывай. есть мудреные софтины, кторые поддерживают базу для хранения и помска инфы в разных доках и урлах, но они грмоздки и для меня не эффективны. проще, пока нужны, открыть 20-30 и > вкладок в группе, пока они нужны. и не гемороится. а своей корчегой сам пользуйся. по предложенному назначению. мне достаточно функционала аддонов мозиллы.

rambleon ()
Ответ на: комментарий от h578b1bde

Как раз люди с айтишным бэкграундом проще переносят изменения ибо могут найти альтернативы и подстроить под свои потребности даже самое огороженное говно, хотя одебиливание интерфейса конечно же терпеть готовы не все. А вот расскажи бухгалтерше что та херовина, в которой она считает твою зряплату, ей не нужна — в следующем месяце будешь жрать хрен вместо еды.

А зряплата этим 50 человекам на счётах считается или хотя бы на калькуляторе?

Я не вижу предмета спора сейчас. Я вел разговор об браузерных расширениях и (хотя и не заявлялось прямо) о лишнем софте.

Есть необходимый софт: у фотографа Лайтрум/Фотошоп, у программиста ИДЕ, итд. А есть всякая хрень, типа One Tab, uMatrix, Aimp/Amarok, хитрожопых файловых менеджеров, программ учета домашних финансов, гтд. Многие люди говорят что эта хрень помогает им автоматизировать рабочие задачи или отдых, но так ли это - это большой вопрос.

anonymous ()
Ответ на: комментарий от khrundel

каким образом тут вообще политика замешана

Есть такое определение: «политика - система принципов для принятия управленческих решений».

Руководство мозиллы принципиально считают целевую аудиторию жирнолиса умственными инвалидами. И к их мнению, пожалуй, стоит прислушаться.

wxw ★★★★★ ()
Ответ на: комментарий от anonymous

Ну вот директор фирмы моего знакомого. У него рабочее место: стол, на столе ноутбук с виндой с дефолтными настройками и смартфон (айфон хз какой модели). Всё. 5 раз в год в Австрию катается, штат около 50 человек

бггг... да ему вообще одного телефона и лыжных палок хватит, а лыжами такие дятлы как ты служат )))

rambleon ()
Ответ на: комментарий от rambleon

Ты прям классический необучаемый. Нормальный человек бы поинтересовался, ведь не может с уверенностью знать о чем идет речь, но нет, понт дороже денег. А причина этого понта - комплексы.

anonymous ()
Ответ на: комментарий от anonymous

Нормальный человек бы поинтересовался

этот самый, если в теме, не стал бы понтоваться, а то что у тебя 7 звезд во лбу и так видно. да нахрен мне твое бахвальство выяснять?

rambleon ()
Ответ на: комментарий от anonymous

У него рабочее место: стол, на столе ноутбук с виндой с дефолтными настройками и смартфон (айфон хз какой модели).

ты еще про кожаное кресло на колесиках забыл, бар, диван, и кондиционер. ))))

rambleon ()
Ответ на: комментарий от anonymous

Многие люди говорят что эта хрень помогает им автоматизировать рабочие задачи или отдых, но так ли это - это большой вопрос.

Пускай люди сами решают чем им пользоваться, безо всех этих огораживаний, непонятно зачем нужных подписей и прочего треша.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Пускай люди сами решают чем им пользоваться, безо всех этих огораживаний, непонятно зачем нужных подписей и прочего треша.

Так я не спорю.

Секретаршу ещё, можно вместо ноутбука.

Я хз что там у топ менеджмента банков, но я знаком с некоторыми людьми у которых вот 20-50 человек в штате, там всё в меру аскетично.

anonymous ()
Ответ на: комментарий от h578b1bde

задача директора- руководство персоналом, производственным процессом в форме принятия решений. но ни разу не настройка и админство своего рабочего бука. если это не так, его безопасник - нуль. на своем телефоне он может чо хош делать, на рабочем буке, в сети предприятия - только под ответственным управлением своего безопасника. спроси любого безопасника - будет он работать в такой конторе

rambleon ()
Ответ на: комментарий от anonymous

но я знаком с некоторыми людьми у которых вот 20-50 человек в штате,

аноним, здесь тема, если ты умеешь читать конечно, Технические подробности недавнего отключения дополнений в Firefox. ну на...я здесь кому то твои личные знакомства и размер их ... штата?

rambleon ()
Ответ на: комментарий от anonymous

У него рабочее место: стол, на столе ноутбук с виндой с дефолтными настройками и смартфон (айфон хз какой модели).
псведонеаноним, перевод темы на кожаные диваны был сделан тобой, а не мной.

какая связь его раб места с проблемами пользвателей ффокса - конкретно - с политикой и действиями в сопровождении дополнений? да ему 10 раз этот фф не уперся ион ваще не занет что это такое. ты что прикидываешься что не читал написанное выше? или до твоих стряхнутых об дерево мозгов это не доходит? или ты реально дятел, и тебе это не грозит?

rambleon ()
Ответ на: комментарий от anonymous

если равные тебе

5 раз в год в Австрию катается, штат около 50 человек

чо ты здесь делаешь со своими гениальными мозгами? или наоброт походу, ты у него в австрии лыжами работаешь, потому как на большее мозгов не хватает?

rambleon ()
Ответ на: комментарий от duraki

Вообще единственное разумное решение в этой ситуации было разогнать всю эту команду, причем не только из Mozilla но и вообще из профессии

и заменишь их всех конечно же ты

У Мозиллы годовой доход измеряется сотнями миллионов долларов, за такие деньги можно нанять команду хороших разработчиков. Просто деньги надо тратить именно на разработку и развитие браузера, а не на приобретение коммерческих сервисов типа pocket, создание новых языков и прочие никому не нужные прожекты. Если ты не знал десятки миллионов в год они тратят только на административные расходы и еще несколько десятков на маркетинг. А оставшиеся направляемые на разработку идут преимущественно на создание очередных велосипедов типа раста. Это давно уже фактически коммерческая структура прикрывающаяся open sourse, и как это часто бывает в таких конторах проблема в менеджменте. И получают деньги они в основном от Гугла, не за то ли что убивают своими действиями открытый браузер? Кто браузеру платит тот его и танцует. Могу ли заменить их лично я? Ну если под «заменить» ты подразумеваешь разогнать этих бездарей и нанять нормальных то наверное да, хотя непонятно почему это должен делать именно я, наверное есть немало людей у которых это получится лучше.

mbivanyuk ★★★★★ ()

Я тут один не понимаю, зачем вообще было отключать дополнения, которые уже были провалидированы, установлены, и благополучно работали на данном компе?

segfault ★★★★★ ()

Во-первых, наша команда проделала потрясающую работу, создав и отправив исправление менее чем за 12 часов после обнаружения проблемы.

Во-первых, ваша команда накосячила, а потом героически исправила свой же косяк.

IPR ★★★★ ()
Ответ на: комментарий от IPR

не совсем так, что б не сказать, что совсем...

ихнее исправление hotfix-update-xpi-intermediate@mozilla.com-1.0.2-signed при всем прочем не подняло некоторые аддоны, они оставлись дисаблед на 56. поднялись сторонним скриптом отсюда https://www.comss.ru/page.php?id=6031#solution и сертом отсюда https://www.reddit.com/r/firefox/comments/bkspmk/addons_fix_for_5602_older/ icfix.pem или каким то одним из них ) буду повторять на новом профиле - уточню) а под той фикстой продолжают лежать ы дисабл и легаси и нелегаси аддоны. чем это обусловлено - я хз, до 0404 проблем не было

rambleon ()
Ответ на: комментарий от dunmaksim

Как там в 2003 году, пацаны? Завидуете наверно тем, у кого 512 Мб RAM и третий Doom запускается?

Хорошие были времена, а у нас тут в 2019 сраные странички в уебе напичканы кучами ненужного гумна и по размеру уже давно больше Doom, поэтому без дополнений, блокирующих гумно, в этой помойке делать нечего.

h578b1bde ★☆ ()
Последнее исправление: h578b1bde (всего исправлений: 1)

Чуваки из мозиллы честно сознались, что нарушили стандарты PKI

Тема сертификатов интереснее чем многие думают пойдем по порядку

Проверка подписи состоит из двух этапов: математическая проверка подписи, т.е. непосредственно криптографическое преобразование и построение цепочки сертификатов и проверка их действительности.

Отсюда первое решение - для просроченного сертификата не строить цепочку. Решение временное, поскольку просроченным сертификатом нельзя подписывать списки аннулированных сертификатов, но скорее всего для мозиллы это не критично, если для каждой новой подписи дополнения генерится новый конечный сертификат. При этом можно проверять отсутствие конечного сертификата в списки аннулированных по состоянию на 04.05.2019. Тем временем переподписать все дополнения даже на дохлый сервер за недельку управиться. Важно: в криптопровайдерах функция математической проверки и функция проверки цепочки - это разные функции. Решение требует обновления браузера.

Второе решение - выпуск паленого сертификата. Они берут старый открытый ключ, старый идентификатор открытого ключа, старый серийный номер сертификата и уговаривают удостоверяющий центр (их собственный, разумеется) выпустить в мае 2019 года сертификат датированный 2015 годом. В принципе сертификат их удостоверяющего центра после этого должен вылететь из доверенных корневых по всему миру, ибо нарушение. Нельзя подкручивать часики на удостоверяющих центрах.

Ну вот как-то так.

MHz ()

Re: Чуваки из мозиллы честно сознались, что нарушили стандарты PKI

Второе решение - выпуск паленого сертификата. Они берут старый открытый ключ, старый идентификатор открытого ключа, старый серийный номер сертификата и уговаривают удостоверяющий центр (их собственный, разумеется) выпустить в мае 2019 года сертификат датированный 2015 годом.

Хоть кто-то заметил. В принципе хозяин барин. Для своего ПО они могут это делать. Но из всех других цепочек проверки кроме собствнного ПО их сертификаты должны быть убраны. Потому что так нельзя делать.

anonymous ()

следует ли понимать, что нужно генерить новый серт, и по новой переподписывать аддоны, и у себя здесь extensions.update.background.url;https://versioncheck-bg.addons.mozilla.org/update/VersionCheck.php?reqVersion... или еще где прописать? и раз уж вынесли с сайта легаси аддоны, то и вовсе их теперь не подписывать? и вообще, с этого 0404 по собственному усмотрению переподписывать аддоны, которые устраивают мозиллу?

rambleon ()
Ответ на: комментарий от MHz

я усматриваю в этом создание объективного предлога для выключения у юзеров нежелательных для мозиллы аддонов, в том числе под старые версии фф. просто мотивируя тех сложностями для выпуска, или просто невозможностью выпоска под них сертов. например некоторые аддоны под 56 фф уже убрали с сайта еще несколько месяцев назад, был вынужден брать их на сторон ресурсах. считаю, то это один способ принуждения перехода на новые версии.

rambleon ()
Ответ на: комментарий от rambleon

чем отличается microsoft store от склада дополнений мозиллы?

microsoft требует прохождения автоматизированного набора тестов после чего распространяется средствами store и обновление сертификата требуется только при загрузке новой версии в store

как устроено в мозилла не знаю, но проверка подписи каждые 24 часа это defect by design, поскольку подпись можно проверять при установке, посчитать хэши файлов дополнений, отскладировать в сухом прохладном месте и проверять только хэши в далбнейшем

как-то так

MHz ()
Ответ на: комментарий от MHz

но проверка подписи каждые 24 часа

в том то и дело. какими соображениями они это мотивируют - это одно, а вот выборочное отключение аддонов на работающей версии фф, как якобы устревшие - это одной схемой сертификации не объяснить.

rambleon ()
Ответ на: комментарий от rambleon

А какая у них может быть мотивация для траты сил и репутации(!) на борьбу со старыми фф/аддонами?

И вообще: может кто-то «на пальцах» объяснить схемы монетизации мозиллы? Кроме пожертвований из фондов.

arturianec100 ()
Ответ на: комментарий от arturianec100

это другой вопрос. имхо, реальный способ монетизации - реклама. ну и исходя из этого сгородить свою свою рекламорезку со своим заходом, или продавать на сторону инфу.

rambleon ()