根据Mozilla基金会官方wiki页面显示,要到Firefox
44开始才会强制不允许安装未获得签名的附加组件。
Mozilla最初的计划是在在Firefox
41版本中不允许用户安装未签名附加组件,但用户可通过about:config来设置绕过;然后真正附加组件强制签名则在Firefox
42版本中实施,42正式版计划将于今年11月份推出。

澳门新葡萄京官网首页 1

Firefox 48 Release: Find out what is new

澳门新葡萄京官网首页 2

图6 Firefox 47禁用未签名的扩展

Check Firefox 48 has E10s Enabled/Disabled, if disabled here is how to
Enable | Techdows

转载自:cnbeta.com

手动关闭Firefox的签名机制

澳门新葡萄京官网首页 3

而 现在出于未公开的原因,该强制措施得到了拖延。在Firefox
42版本中会向用户发出签名的警告,但是并不会强制执行;在Firefox
43版本中有偏好选项允许附加组件强制签名选项关闭(在about:config中的xpinstall.signatures.required),而
在Firefox
44中,所有正式发行版本和Beta版本都不允许安装未签名的附加组件,而且没有办法绕过。Firefox
44计划将于2016年1月下旬发布。

图3 附加组件阻挡列表

强制关闭附加组件签名机制

如果兼容,那就

图2Firefox附加组件

48以及之后

澳门新葡萄京官网首页 4

澳门新葡萄京官网首页 5

然而,笔者在Firefox扩展默认的安装路径下(C:Users用户名AppDataRoamingMozillaFirefoxProfilesxxxxxxxx.defaultextensions)找到了被禁用扩展的程序包,如图10所示,这是否仍然存在一定风险呢?笔者能力有限,未能探究出这其中的奥秘,还望各路大神不吝指点。

Mozilla tests new Get Add-ons page in Firefox

图9 Firefox48.0.1中“xpinstall.signatures.required”为“false”状态下

打开

附加组件签名机制

打开about:support,就知道浏览器是否有启用多进程了。

图5Firefox40中用户禁用未签名的扩展

澳门新葡萄京官网首页 6

3.1 标记阶段

6:其他更新

此时,Firefox默认将未经签名的扩展禁用了,并且没有“启用”选项,相比于Firefox40

42版本的标记方式,这将大大地提高了附加组件的安全性。然而,这就是万无一失的吗?

48之前

图1Firefox历史版本

澳门新葡萄京官网首页,5:新的获取附加组件页面

澳门新葡萄京官网首页 7

Enhancing Download Protection in Firefox | Mozilla Security Blog

为了更好的保障用户的安全,Mozilla维护了一个附加组件的黑名单列表,已知会造成
Firefox
稳定性或安全性问题的附加组件(扩展、主题和插件)会放入“阻挡列表”(Blocklist,如图3所示)。

可参考cnbeta的文章,Mozilla将为Firefox 49加入新的异常下载保护功能 

3.2 禁用阶段

澳门新葡萄京官网首页 8

附加组件的黑名单系统阻挡了很多恶意附加组件,然而仍然存在一些问题,比如:新增的附加组件的安全性如何保障?第三方的附加组件的安全性如何保障?等等,附加组件的签名机制应运而生。

1、什么是附加组件

1: 开启扩展强制签名机制,未签名的扩展不能安装。

Firefox浏览器的附加组件机制极大地丰富了其功能,提高了用户的浏览体验,然而也有一系列的安全问题。为此,Mozilla维护了一份附加组件的黑名单,并逐步添加了附加组件签名机制,强制禁用未签名的扩展,提高了附加组件的安全性。然而,这并不意味着能百分之百地保障用户安全。广大用户还应提高个人安全意识,不断的了解和使用各种安全保障机制,才能使浏览器安全得到更好的保障。

安装自己喜欢的扩展,可能有chrome扩展不能运行。

未经签名的扩展仍被禁用

Firefox 48: New add-ons Discovery Pane | Techdows

澳门新葡萄京官网首页 9

如果想关闭多进程,可以将about:config?filter=browser.tabs.remote.autostart设置为false

2、附加组件的黑名单

关于安全浏览的所有键值

澳门新葡萄京官网首页 10

2:1%的用户会默认开启多进程

这可以阻止一部分恶意扩展,但需要用户的配合,即需要用户手动禁用未签名的扩展,无疑这对用户的安全意识以及用户对Firefox的熟悉程度有较高的要求。

旧版火狐想体验新版的可以 将extensions.webservice.discoverURL修改为

从Firefox 43版本起(Firefox 43 –
47),未被签名的扩展将直接被禁用,图6显示了Firefox
47中直接将未签名的扩展Youdao Word
Capturer禁用了。对比图5和图6,最显著的差别是Firefox43中(图6所示)用户无法直接从界面中启用被禁用的未签名扩展。

总结

打开about:config?filter=extensions.webservice.discoverURL

然而,任何事物都具有两面性。附加组件在给用户提供了方便的同时,也带来了一定的风险。例如,某些附加组件会篡改浏览器设置或者窃取用户信息,有的会在网页中注入广告等,这样的情况现在越来越普遍。因此,必须有措施来更好地管理附加组件。

正式版和beta版都已经不能安装未签名扩展,不过开发版(
),ESR延长支持版(
Firefox 已发布 

3、附件组件签名机制

Firefox 48: Disable New add-on Discovery Pane | Techdows

Firefox 40版本起(Firefox 40 –
42),未被签名的扩展将被标记,图4显示了Firefox 40中提示用户扩展Youdao
Word Capturer未通过Firefox的验证。

右键修改为 
可以返回到旧版的获取附加组件页面

澳门新葡萄京官网首页 11

下载地址

图8强行关闭Firefox 47附加组件签名机制后

3:下载保护功能

根据Net
MarketShare的数据显示,2016年8月份Firefox浏览器占全球市场份额7.69%,仅次于Chrome和IE,排名第三。可见,Firefox是一款比较受欢迎的浏览器,那么,Firefox浏览器的开发人员又在其安全性方面做了哪些努力呢?下面,笔者就详细介绍下Firefox浏览器新增的安全机制—附加组件签名机制,以帮助用户更好地了解和使用Firefox。

澳门新葡萄京官网首页 12

以Windows
7为例,在路径“C:Users用户名AppDataRoamingMozillaFirefoxProfilesxxxxxxxx.default”(
路径中的xxxxxxxx.default是安装Firefox时浏览器随机生成的user profile
identifier)下找到用户配置的文件prefs.js,按照其格式,添加语句“user_pref(“xpinstall.signatures.required”,false);”即可强制关闭签名机制。

打开about:config?filter=browser.tabs.remote.autostart双击修改键值为true

为了更好的管理附加组件,Mozilla
根据一套安全准则对附加组件进行验证并为其“签名”,需要签名的类型包括扩展。下面,笔者就讲一讲这签名机制是如何在Firefox中发展的。

测试不托管在 AMO
的扩展获得签名的流程(秒获签名!)

如图7所示,在Firefox地址栏访问“about:config”,点击“我保证会小心”进入用户个人配置界面,双击“xpinstall.signatures.required”将其设置为“false”(默认情况下为true),此时即关闭了签名机制。

澳门新葡萄京官网首页 13

之前的参数xpinstall.signatures.required已经失效。

自从2002年Firefox诞生以来,其版本更新非常快,图1显示了其稳定版本的更新情况。截至2016年9月23日,最新稳定版本是49.0.1。

图4 Firefox40提示用户未签名的扩展

从Firefox
48版本开始,未被签名的扩展将被禁用且不再加载。换句话说,即使修改了Firefox的默认配置(即将“xpinstall.signatures.required”设置为“false”),未经签名的扩展也始终为禁用状态,如图9所示。

可通过设置about:config?filter=browser.safebrowsing.malware.enabled
设置为false来关闭防护

【编辑推荐】

Why You Should not Disable Download Protection in Firefox 48? |
Techdows

Firefox签名机制被强行关闭后,再去查看扩展的情况,发现未经签名的扩展会仅仅会被标记且为启用状态(与Firefox
40 –
42版本情况相似),如图8所示,但其功能是正常的,那么又给了黑客可乘之机。

可能因为扩展或无障碍工具导致e10s无法启用,可以

澳门新葡萄京官网首页 14

Firefox 49+ Windows版本不再支持无SSE2指令的CPU
,简单点说就是很老的电脑不能安装火狐了。详情:

澳门新葡萄京官网首页 15

 相比之前不痛不痒的几个版本更新,48这次有了很多明显可见的更新。

修改Firefox的配置文件关闭签名机制

图10 被禁用的扩展包仍然存在

澳门新葡萄京官网首页 16

此时,如果用户选择禁用此扩展,那么将变成如图5所示情形:

新建布尔值browser.tabs.remote.force-enable 并设置为true来强制启用。

禁用且不加载阶段

安装

澳门新葡萄京官网首页 17

开发者工具可以使用firebug主题

历史版本

如果你想启用多进程,可以先在

虽然从43版本开始Firefox就禁用了未经签名的扩展,然而,对于Firefox43
-47版本,用户可以修改Firefox默认配置强行关闭签名机制。

附加组件是一种通过增添额外的功能或样式让用户实现个性化 Firefox
的应用程序,包括扩展、外观、插件、服务等类型,可通过在Firefox中访问地址about:addons查看(如图2所示)。

或者你可以未签名的扩展上传到AMO

图7用户强制关闭Firefox的附加组件签名机制

澳门新葡萄京官网首页 18

澳门新葡萄京官网首页 19

澳门新葡萄京官网首页 20

整合了第一个Rust语言开发的组件“媒体解析器”(

(如果还是不行可以尝试将accessibility.force_disabled和extensions.e10sBlocksEnabling设置为false)

允许临时载入附加组件避开扩展签名检查(

4:火狐可以安装一些chrome扩展了

相关文章:Multi-Process Firefox: everything you need to know

默认屏蔽一些隐私跟踪的swf文件

新版的地址栏,见上图。来源:

关于 XPI 在 AMO 签名教程 赠给需要的狐友

如果想用回新版,右键重置即可

How to install Google Chrome extensions in Firefox