据 zdnet 报道,Mozilla
宣布计划停止支持 Firefox
中的侧载扩展。从明年开始,Firefox
用户将无法通过将 XPI 扩展文件放在用户 Firefox
目录内的特殊文件夹中来安装扩展。该方法称为侧载,最初是为了帮助桌面应用程序的开发人员而创建的。如果想在桌面应用程序分发
Firefox 扩展,开发人员可以配置该应用程序的安装程序,以将 Firefox XPI
扩展文件放入 Firefox 浏览器的文件夹中。

更新:《Firefox火狐浏览器已推送“插件失效”证书修复补丁》

图片 1

IT之家5月4日消息今天大量用户报告所有Firefox插件被错误禁用,Mozilla已承认其系统存在问题。该错误导致Firefox浏览器在扩展上方显示错误消息“无法验证并已禁用一个或多个已安装的扩展”。

根据Net
MarketShare的数据显示,2016年8月份Firefox浏览器占全球市场份额7.69%,仅次于Chrome和IE,排名第三。可见,Firefox是一款比较受欢迎的浏览器,那么,Firefox浏览器的开发人员又在其安全性方面做了哪些努力呢?下面,笔者就详细介绍下Firefox浏览器新增的安全机制—附加组件签名机制,以帮助用户更好地了解和使用Firefox。

Firefox 扩展开发人员在早期就可以使用此方法,现在 Mozilla
出于安全风险的考虑,宣布计划停止支持侧面加载的扩展。

由于Firefox浏览器出现故障,所有流行的扩展程序(如Dark
Mode,LastPass,Ghostery等)都会受到影响。Bugzilla帖子表明问题与不正确的扩展证书签名有关。这意味着已签署的Firefox扩展已被标记为不受支持。换句话说,扩展禁用是由于中间签名证书到期

历史版本

Mozilla 附加组件社区经理 Caitlin Neiman
表示:“侧载扩展经常给用户带来问题,因为他们没有明确选择安装它们,也无法从附加组件管理器中删除它们。”他还称,“过去也曾采用这种机制将恶意软件安装到
Firefox 中。”

另一位用户透露,Firefox也不会让用户重新下载任何东西。如果你尝试重新下载受影响的扩展程序,则可能会收到一条通用消息,指出下载失败并检查你的Internet连接。

自从2002年Firefox诞生以来,其版本更新非常快,图1显示了其稳定版本的更新情况。截至2016年9月23日,最新稳定版本是49.0.1。

接下来,Mozilla 计划在明年分两阶段计划停止支持此功能。第一次将发生在
2020 年 2 月份发行 Firefox73 的时候进行,到 2020 年 3 月,随着 Firefox74
的发布,Mozilla 计划完全取消侧面加载扩展的功能。到那时,Mozilla
希望所有侧载扩展都将在用户的“加载项”部分中移动。通过此举,Mozilla
还希望帮助清理一些 Firefox
安装,恶意软件作者正在秘密地将这些扩展隐藏在用户的背后。

幸运的是,Reddit用户发现了一种解决Firefox扩展故障的解决方法。

图片 2

当然,Mozilla 还提供了两种保留加载扩展的方法。第一种就是从官方的
addons.mozilla.org(AMO) 门户安装扩展。第二个涉及使用 Firefox
的“加载项”部分中的“ 从文件安装加载项 ”选项。

在常规版本的Firefox中,转到about:debugging。

图1Firefox历史版本

稿源:cnbeta

选中此框以让Firefox开始调试附加组件。

附加组件签名机制

在appdata中浏览到你的Firefox个人资料:

1、什么是附加组件

C:Users\AppDataRoamingMozillaFirefoxProfiles

附加组件是一种通过增添额外的功能或样式让用户实现个性化 Firefox
的应用程序,包括扩展、外观、插件、服务等类型,可通过在Firefox中访问地址about:addons查看(如图2所示)。

.defaultextensions

图片 3

在extensions扩展文件夹中,你将找到.xpi文件。这些文件实际上是你拥有的扩展

图2Firefox附加组件

手动加载扩展,但如果关闭或重新启动Firefox,扩展可能会停止工作。

然而,任何事物都具有两面性。附加组件在给用户提供了方便的同时,也带来了一定的风险。例如,某些附加组件会篡改浏览器设置或者窃取用户信息,有的会在网页中注入广告等,这样的情况现在越来越普遍。因此,必须有措施来更好地管理附加组件。

以上解决方法适用于一些用户,它可以暂时解决问题。

2、附加组件的黑名单

Mozilla已知晓问题

为了更好的保障用户的安全,Mozilla维护了一个附加组件的黑名单列表,已知会造成
Firefox
稳定性或安全性问题的附加组件(扩展、主题和插件)会放入“阻挡列表”(Blocklist,如图3所示)。

在Twitter帖子中,Mozilla承认Firefox扩展出现故障,该公司表示证书问题可能会禁用你的插件。Firefox工程师正在积极调查问题并准备解决问题的方法。

图片 4

图3 附加组件阻挡列表

附加组件的黑名单系统阻挡了很多恶意附加组件,然而仍然存在一些问题,比如:新增的附加组件的安全性如何保障?第三方的附加组件的安全性如何保障?等等,附加组件的签名机制应运而生。

3、附件组件签名机制

为了更好的管理附加组件,Mozilla
根据一套安全准则对附加组件进行验证并为其“签名”,需要签名的类型包括扩展。下面,笔者就讲一讲这签名机制是如何在Firefox中发展的。

3.1 标记阶段

Firefox 40版本起(Firefox 40 –
42),未被签名的扩展将被标记,图4显示了Firefox 40中提示用户扩展Youdao
Word Capturer未通过Firefox的验证。

图片 5

图4 Firefox40提示用户未签名的扩展

此时,如果用户选择禁用此扩展,那么将变成如图5所示情形:

图片 6

图5Firefox40中用户禁用未签名的扩展

这可以阻止一部分恶意扩展,但需要用户的配合,即需要用户手动禁用未签名的扩展,无疑这对用户的安全意识以及用户对Firefox的熟悉程度有较高的要求。

3.2 禁用阶段

从Firefox 43版本起(Firefox 43 –
47),未被签名的扩展将直接被禁用,图6显示了Firefox
47中直接将未签名的扩展Youdao Word
Capturer禁用了。对比图5和图6,最显著的差别是Firefox43中(图6所示)用户无法直接从界面中启用被禁用的未签名扩展。

图片 7

图6 Firefox 47禁用未签名的扩展

此时,Firefox默认将未经签名的扩展禁用了,并且没有“启用”选项,相比于Firefox40

42版本的标记方式,这将大大地提高了附加组件的安全性。然而,这就是万无一失的吗?

强制关闭附加组件签名机制

虽然从43版本开始Firefox就禁用了未经签名的扩展,然而,对于Firefox43
-47版本,用户可以修改Firefox默认配置强行关闭签名机制。

手动关闭Firefox的签名机制

如图7所示,在Firefox地址栏访问“about:config”,点击“我保证会小心”进入用户个人配置界面,双击“xpinstall.signatures.required”将其设置为“false”(默认情况下为true),此时即关闭了签名机制。

图片 8

图片 9

图7用户强制关闭Firefox的附加组件签名机制

修改Firefox的配置文件关闭签名机制

以Windows
7为例,在路径“C:Users用户名AppDataRoamingMozillaFirefoxProfilesxxxxxxxx.default”(
路径中的xxxxxxxx.default是安装Firefox时浏览器随机生成的user profile
identifier)下找到用户配置的文件prefs.js,按照其格式,添加语句“user_pref(“xpinstall.signatures.required”,false);”即可强制关闭签名机制。

Firefox签名机制被强行关闭后,再去查看扩展的情况,发现未经签名的扩展会仅仅会被标记且为启用状态(与Firefox
40 –
42版本情况相似),如图8所示,但其功能是正常的,那么又给了黑客可乘之机。

图片 10

图8强行关闭Firefox 47附加组件签名机制后

禁用且不加载阶段

从Firefox
48版本开始,未被签名的扩展将被禁用且不再加载。换句话说,即使修改了Firefox的默认配置(即将“xpinstall.signatures.required”设置为“false”),未经签名的扩展也始终为禁用状态,如图9所示。

图片 11

图9 Firefox48.0.1中“xpinstall.signatures.required”为“false”状态下

未经签名的扩展仍被禁用

然而,笔者在Firefox扩展默认的安装路径下(C:Users用户名AppDataRoamingMozillaFirefoxProfilesxxxxxxxx.defaultextensions)找到了被禁用扩展的程序包,如图10所示,这是否仍然存在一定风险呢?笔者能力有限,未能探究出这其中的奥秘,还望各路大神不吝指点。

图片 12

图10 被禁用的扩展包仍然存在

总结

Firefox浏览器的附加组件机制极大地丰富了其功能,提高了用户的浏览体验,然而也有一系列的安全问题。为此,Mozilla维护了一份附加组件的黑名单,并逐步添加了附加组件签名机制,强制禁用未签名的扩展,提高了附加组件的安全性。然而,这并不意味着能百分之百地保障用户安全。广大用户还应提高个人安全意识,不断的了解和使用各种安全保障机制,才能使浏览器安全得到更好的保障。

【编辑推荐】