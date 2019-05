В минувшие выходные пользователи Firefox с удивлением обнаружили, что в браузерах всех версий (включая стабильные версии, ночные сборки, а также Tor) внезапно отключились дополнения. Попытки активировать, переустановить или загрузить новые аддоны не давали никаких результатов и заканчивались ошибкой.

Как оказалось, массовый сбой был вызван истечением срока действия сертификата, который использовался для формирования цифровых подписей. Дело в том, что все аддоны для Firefox имеют цифровую подпись, начиная с Firefox 48, вышедшего весной 2016 года. Этот механизм вполне эффективно используется для защиты от вредоносных дополнений, но также он косвенно «привязывает» работу всех аддонов к инфраструктуре Mozilla, так как требует проверки цифровых подписей.

Вначале пострадавшим пользователям предложили очень простые способы обхода проблемы. Например, перевести системное время на любую дату ранее 12:00 UTC 4 мая 2019 года (дата истечения срока сертификата), или открыть about:config, а затем установить значение xpinstall.signatures.required на false, тем самым отказавшись от проверки подписей вообще.

Чуть позже разработчики Mozilla представили хотфикс, который возвращал все отключившиеся аддоны в строй. Однако это решение быстро подверглось критике со стороны ИБ-экспертов. Дело в том, что исправление использовало для «реанимации» дополнений встроенную функцию Firefox Studies. Без этого временный патч попросту не работал. Как отметили многие ИБ-специалисты, включение Firefox Studies означает согласие пользователя на передачу телеметрии Mozilla, и если без этого обязательного условия хотфикс не работает, всё это выглядит не слишком хорошо.

The Firefox disabled extensions patch requires the Studies feature to be enabled. However, you can't seem to be able to activate Studies without also allowing Firefox to send telemetry to Mozilla. Not good. pic.twitter.com/mv5k1wtwGf

— Costin Raiu (@craiu) May 5, 2019