Portál AbcLinuxu, 22. května 2025 18:12

API pro podepisování doplňků pro Firefox

V únoru Mozilla oznámila (zprávička), že bude digitálně podepisovat doplňky pro Firefox. Dnes je ve Firefoxu 42 u nepodepsaných doplňků pouze zobrazeno varování. Pravděpodobně už v příští verzi 43 budou nepodepsané doplňky automaticky zakázány. Doplňky na oficiálním serveru addons.mozilla.org jsou testovány a podepisovány automaticky. Vývojáři, jež nechtějí své doplňky umístit na oficiálním serveru si je doteď museli na oficiálním serveru nechat ručně podepsat. Nově mají k dispozici API pro jejich podepisování.

23.11.2015 20:40 | Ladislav Hagara | Komunita


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

23.11.2015 21:55 j
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Odpovědět | Sbalit | Link | Blokovat | Admin
Ano ano, pomodlete se k svemu Bohovi, nebot pouze Buh vi, co je pro vas dobre, a jen Buh bude rozhodovat o tom, co smite a co ne.
23.11.2015 22:48 JoHnY3
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Zda se mi to, nebo se nam tu mnozi trollove co nemaji dostatecne schopnosti na pochopeni obsahu clanku/zpravy pod kterou trolluji?

Václav 24.11.2015 06:58 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
No jo, no… Tím API odbourali největší problém podpisů (firemní addony které nikdo do addons dávat nechce). Navíc, nebudou vydávat i developer verzi FF která to hlídat nebude?
Cross my heart and hope to fly, stick a cupcake in my eye!
24.11.2015 09:09 j
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Ne, to vazne neresi vubec nic, coz by ten dment o post vejs vedel, pokud by si precet aspon ten odkaz.

"Pokud po nahrání přes toto API doplněk projde všemi testy," ... NIKDO nebude NIKAM zadnej addon nahravat. Obzvlast ne, kdyz jde o placenou vec.
24.11.2015 10:14 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Tím API odbourali největší problém podpisů (firemní addony které nikdo do addons dávat nechce).

API neřeší nic. Buď to podepisování bude fungovat úplně automaticky (a nejlépe bez poskytnutí celého addonu, jen z hashe) a pak je z bezpečnostního hlediska úplně k ničemu, nebo bude probíhat nějaká kontrola a pak to znamená, že Mozilla Foundation bude muset všechny addony vidět (ve vámi zmíněném případě samo o sobě nepřípustné) a bude rozhodovat, které podepíše (prostor pro cenzuru nepohodlných addonů).

Navíc, nebudou vydávat i developer verzi FF která to hlídat nebude?

Takže ve firmách, kde potřebují používat vlastní interní addon, všichni poběží na development verzích? To bude radosti…

Celé by to mohlo jakž takž fungovat, kdyby umožnili, aby si ve firmách interní addony mohli podepisovat svým vlastním klíčem, který by šlo v rámci firmy nastavit jako důvěryhodný. A totéž by mohl udělat ve své instanci i sám uživatel. Ale obávám se, že podobně jako v případě "public key pinning" je tento model nekompatibilní se směrem, kterým se vývoj Firefoxu v současné době ubírá. :-(

Ještě víc mne ale znepokojují plány postupně zrušit současné API pro extensions a přejít na omezené API kompatibilní s chrome. (V kombinaci s tím vynuceným podepisováním a ověřováním ještě víc.)

little.owl avatar 24.11.2015 13:27 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Pokud to garantuje, ze distribuovany addon je instalovan tak jak ho autor uvolnil a nebyl modifikovan treti stranou, je to prinos.
A former Red Hat freeloader.
24.11.2015 14:15 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
V tomhle ohledu ano - ale některé způsoby využívání addonů to buď úplně znemožní nebo přinejmenším hodně zkomplikuje.
25.11.2015 23:03 Martin Stransky | skóre: 6
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Ano, to je pravda. Mozilla stala pred rozhodnutim zda vyjit vstric vetsinovemu uzivateli na MS Windows ktery je napadan/obtezovan ruznymi pochybnymi doplnky (addware, zmena domovske stranky, pridavani ruznych obskurnich liset/tlacitek) a nebo to nechat tak coz vyhovuje spise "power" uzivatelum.

Vzhledem k tomu ze "power" uzivatelu je celkem minimum (muj soukromy odhad cca 3% vsech uzivatelu) tak se tomuto rozhodnuti nelze az tak divit. Muzeme s tim nesouhlasit, muzeme o tom diskutovat ale to je asi tak vsechno.
26.11.2015 04:09 Ostap Kotab
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Já s tím nemám problém ;-)
26.11.2015 07:47 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Já pořád nevidím, proč by nemělo být možné mít v konfiguraci checkbox "instalovat pouze podepsané doplňky". Klidně ať je defaultně zaškrtnutý. Nebo to klidně může být jen volba dostupná about:config nebo třeba nastavením proměnné prostředí YES_I_AM_AN_IDIOT_WHO_WANTS_AN_INSECURE_BROWSER. To je mi úplně jedno, ale nechápu, proč by to u standardního buildu nemělo jít vůbec.
26.11.2015 08:33 Martin Stransky
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
V prvni rade chapejte ze Mozilla toto cili na Windows kde je (IMHO) velky bordel v ruznych nastavenich, lide mivaji svuj ucet spusteny jako admin a tak podobne.

Mozilla se boji se ze by pripadny malware toto nastaveni prepsal a obesel to. To je take duvod pro se omezuji mista (na lokalnim disku) ze ktereho se daji rozsireni automaticky instalovat/spoustet.

Jiste, pokud jste prihlaseny jako admin a radi vam tam pod vasim uctem malware/vir tak jste celkem v haji, ale toto je bohuzel realita spousty windows uzivatelu. Ale prave v tomto pripade je to podepisovani doplnku nejucinejsi.

V Linuxu by toto mohlo byt i snad jednodussi ale Linux tu opet neni cilova platforma (celkem asi 2% uzivatelu Firefoxu je na Linuxu) a mozilla bohuzel nechce resit zadne speciality pro Linux.

26.11.2015 09:09 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
V prvni rade chapejte ze Mozilla toto cili na Windows

Že Mozilla cílí všechno v podstatě jen na uživatele Windows, jsem pochopil nedávno, když jsem při hledání, jak Firefox přesvědčit, aby nebránil vytvoření normálního core dumpu, narazil na tento dokument.

Jiste, pokud jste prihlaseny jako admin a radi vam tam pod vasim uctem malware/vir tak jste celkem v haji, ale toto je bohuzel realita spousty windows uzivatelu. Ale prave v tomto pripade je to podepisovani doplnku nejucinejsi.

Tedy aspoň do chvíle, než se malware naučí tu kontrolu zneškodnit… :-)

24.11.2015 18:23 j
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Tohle je neco, co je mezi autorem addonu a uzivatelem browseru, co do toho ma co zvanit treti strana?

Zkus si predstavit, ze v M$ nekomu jebne, a vydaji patch, ze nepude spustit zadna v M$ nepodepsana binarka.

Ano, pokud by browser umel kontrolovat libovolny podpis vuci nejakemu seznamu povolenych, OK.

Ve firemnim sektoru je FF ve vetsim meritku stejne nepouzitelny, protoze se neda centralne administrovat. A mimochodem, mam tu trebas appku, ktera ma mimo jiny addon, kterej je zcela objektivne velice nebepecnej - umoznuje totiz pomoci "hloupeho" odkazu spoustet primo z browseru binarky (bez dotazu). Tedy neco, co se prece nesmi do prohlizece nikdy dostat. Tudiz kdyz si takhle na webu otevru seznam pocitacu, tak si na ne muzu kliknutim poslat trebas ping/wol/trace/ssh/... proste cokoli si tam pridam. A nemusim to vypisovat do shellu/commandline.

Kdyz takovej addon vcetne nejakyho toho silent formatu predhodim userovi a on si klikne ....
24.11.2015 14:58 VM
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Zk*rvit rozhraní pro addony a sebrat uživatelům hlavní důvod, proč používat Firefox? To musel někdo hodně přemýšlet...
Václav 26.11.2015 07:07 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: API pro podepisování doplňků pro Firefox
Nevím jak to s tím vypadá, o té verzi jsem četl při první zmínce o podepsání. Nemělo se jednat o development verzi, ale developer verzi pro vývojáře addonů. Prostě jen trochu víc zastrčený download buildu FF s vypnutou kontrolou podpisů (ono testovat vlastní addon při vývoji a nechávat ho po každé změně řádku kódu podepisovat by bylo asi dost naprd)
Cross my heart and hope to fly, stick a cupcake in my eye!

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.