Helyrehozta a Firefox tanúsítvány-fiaskóját a Mozilla
A böngészőkiegészítők ellenőrzését célzó tanúsítvány járt le, a hétvégén minden kiegészítő lekapcsolt.
Javította böngészőkiegészítős bakiját a Mozilla: a szervezet múlt hét végén futott bele egy fájdalmas hibába, miután lejárt a Firefox kiegészítőinek aláírásához használt tanúsítvány. Utóbbit a böngésző arra használta, hogy megbizonyosodjon róla, hogy a telepített kiegészítők valóban ugyanazok, amelyek a Mozilla hivatalos felületén is megtalálhatók. Miután a tanúsítvány érvényét vesztette, a Firefox már nem tudta igazolni a beépülők hitelességét, így automatikusan lekapcsolta azokat. A problémát súlyosbította, hogy a felhasználók manuálisan sem tudták újraaktiválni kiegészítőiket, illetve újakat sem tudtak telepíteni a Mozilla online felületéről.
A szervezet tűzoltásként már néhány órával a hiba megjelenése után kiadott egy gyorsjavítást, amely a Firefox Studies funkciót használva biztosított támogatást az új tanúsítvány számára - ez ugyanakkor csak részmegoldás volt, hiszen a kísérleti funkciók kipróbálását célzó Studies azoknál a felhasználóknál nem aktív, akik kikapcsolták a böngésző telemetriai adatgyűjtését. Így számos felhasználó az ideiglenes patch kiadását követően is kiegészítők nélkül maradt, nemtetszésüknek pedig több közösségi felületen is hangot adtak.
Szerencsére a hétvégén a Mozillának sikerült rendeznie sorait, és vasárnap a teljes értékű javítással is előrukkolt. Ez a Firefox 66.0.4-es kiadásával az érintett platformokra, azaz az asztali verziókra, illetve Androidra is megérkezett, és már a frissített tanúsítvánnyal igazolja a kiegészítők hitelességét. Kev Needham, a Firefox egyik fejlesztőjének posztja szerint a kiadásban még akadhatnak kisebb problémák, néhány kiegészítőt a böngésző továbbra is nem támogatottként tüntethet fel, illetve a malőr előtt beállított témákat is előfordulhat hogy újra manuálisan kell aktiválni. A frissítés mindenesetre a fő aláírási fiaskót már orvosolja, illetve a csapat a kevésbé fajsúlyos bugok kigyomlálásán is dolgozik.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A blogposzt arra is figyelmeztet, hogy bár a hiba kapcsán több, a felhasználók által talált, áthidaló megoldás is felmerült, ezek használatát a szervezet nem javasolja, mert problémákat okozhatnak a hivatalos javítással. Ilyen volt például a digitális aláírások ellenőrzésének teljes kikapcsolása a kiegészítőknél, ami biztonsági szempontból aggályos, vagy épp a rendszeróra visszaállítása, hogy a böngésző még ne tekintse lejártnak az érintett tanúsítványt - ez pedig más alkalmazások működését zavarhatja meg. Szerencsére ilyen kerülőutakra a 66.0.4-es kiadással már nincs szükség.
A Mozilla egyébként épp a napokban jelentette be, hogy hamarosan sokkal szigorúbban vizsgálja majd a publikált kiegészítőket, és csak azoknak ad zöld utat, amelyek kódját a fejlesztők szabadon olvashatóvá teszik a szervezet szakemberei számára.