Přeskočit navigaci

Tento blog byl již ukončen. Aktuální novinky ze světa Mozilly nyní hledejte na webu Mozilla.cz.

Zákaz aktualizací doplňků z nezabezpečených kanálů ve Firefoxu 3.0

Logo Firefoxu

Počínaje dnešní vývojovou verzí Firefoxu 3.0 dochází k jedné podstatné změně související s instalací a aktualizací doplňků. Ty od nynějška nebude možné standardně nainstalovat, pokud doplněk umožňuje nezabezpečenou aktualizaci (http), díky níž může potencionálně dojít ke kompromitaci počítače uživatele. Již nainstalované doplňky, které neposkytují zabezpečené aktualizace, budou zakázány.

Uživatelů, kteří instalují doplňky ze serveru Mozilla Add-ons se tato změna nedotkne, protože aktualizace z tohoto serveru jsou přenášeny zabezpečeně skrze SSL. Autoři doplňků, kteří aktualizace pro své doplňky neposkytují skrze oficiální server, budou muset poskytovat aktualizace na zabezpečené adrese s platným SSL certifikátem. Další možnost bude spočívat ve využití digitálního podpisu. Uživatel bude moci uvedené restrikce vypnout a to pomocí předvolby extensions.checkUpdateSecurity (nemusí existovat) na konfigurační stránce about:config.

Přečtěte si také:

Přidáno: 4. září 2007 18:25, Komentáře (9), Trvalý odkaz
nahoru

Linkuj si ! asdf.sk

Komentáře

1. Martin Hassman (www)
Předpokládám ale Pavle, že stále zůstane možnost stáhnout rozšíření z webu skrze http na lokální disk a nainstalovat z něj, ne?

2. Pavel "JasnaPaka" Cvrček (www)
[1] Pokud jsem to dobře pochopil, tak se zamezí instalace doplňku s nezabezpečenými aktualizacemi tj. zde je v principu jedno, zda instalaci provádíš z webu či z lokálního disku. Jde totiž o způsob poskytování aktualizací.

3. Arcao (www)
Heh, tak to jsem docela nahranej. HTTPS neni dnes stale standardni soucast webhostingu, musi se za ni tvrde platit. :(

4. funTomas
Ten dopad bude širší, ale ohledně dotazu Martina: update url se dá vždy na lokálu hacknout, pokud na to přijde. Tak to asi ale v Mountain View nezamýšleli. Pokud tedy nebude Remora pořádně fungovat (sandboxing může některým addons zabránit, aby spatřila světlo svět), může tato nová fíčura zlomit MoCo vaz!

5. Martin Hassman (www)
[2] AHA, ja to úplně špatně pochopil!

[3] V tom případě to nebude tak zlé. Rozšíření si uživatel může nainstalovat i z http, ale jeho "oficiální verze" pro updaty musí hostovat na https. A takové zadarmo nabídne MoCo.

6. Pavel "JasnaPaka" Cvrček (www)
[4] Mimo HTTPS tu stále zbývá ta druhá možnost pomocí veřejného a soukromého klíče, takže bych se neobával. Jinak s tím, že sandbox na Mozilla Add-ons není ideální, s tím souhlasím.

7. v6ak
[6] Jj, stačí podepsat a přibalit veřejný klíč, ne? Jen jestli to povolí Firefox...

8. njaji
No dobrá, ale co dělat když opravdu ten extensions.checkUpdateSecurity neexistuje ? Jak nastavit aby mi šli nainstalovat ty rozšíření?

9. v6ak (www)
[8] Tipuju: vytvořit?

Přidat komentář

K tomuto příspěvku není možné přidávat další komentáře.