:

Szerző: Hlács Ferenc

2019. május 6. 14:31

Helyrehozta a Firefox tanúsítvány-fiaskóját a Mozilla

A böngészőkiegészítők ellenőrzését célzó tanúsítvány járt le, a hétvégén minden kiegészítő lekapcsolt.

Javította böngészőkiegészítős bakiját a Mozilla: a szervezet múlt hét végén futott bele egy fájdalmas hibába, miután lejárt a Firefox kiegészítőinek aláírásához használt tanúsítvány. Utóbbit a böngésző arra használta, hogy megbizonyosodjon róla, hogy a telepített kiegészítők valóban ugyanazok, amelyek a Mozilla hivatalos felületén is megtalálhatók. Miután a tanúsítvány érvényét vesztette, a Firefox már nem tudta igazolni a beépülők hitelességét, így automatikusan lekapcsolta azokat. A problémát súlyosbította, hogy a felhasználók manuálisan sem tudták újraaktiválni kiegészítőiket, illetve újakat sem tudtak telepíteni a Mozilla online felületéről.

A szervezet tűzoltásként már néhány órával a hiba megjelenése után kiadott egy gyorsjavítást, amely a Firefox Studies funkciót használva biztosított támogatást az új tanúsítvány számára - ez ugyanakkor csak részmegoldás volt, hiszen a kísérleti funkciók kipróbálását célzó Studies azoknál a felhasználóknál nem aktív, akik kikapcsolták a böngésző telemetriai adatgyűjtését. Így számos felhasználó az ideiglenes patch kiadását követően is kiegészítők nélkül maradt, nemtetszésüknek pedig több közösségi felületen is hangot adtak.

firefox

Szerencsére a hétvégén a Mozillának sikerült rendeznie sorait, és vasárnap a teljes értékű javítással is előrukkolt. Ez a Firefox 66.0.4-es kiadásával az érintett platformokra, azaz az asztali verziókra, illetve Androidra is megérkezett, és már a frissített tanúsítvánnyal igazolja a kiegészítők hitelességét. Kev Needham, a Firefox egyik fejlesztőjének posztja szerint a kiadásban még akadhatnak kisebb problémák, néhány kiegészítőt a böngésző továbbra is nem támogatottként tüntethet fel, illetve a malőr előtt beállított témákat is előfordulhat hogy újra manuálisan kell aktiválni. A frissítés mindenesetre a fő aláírási fiaskót már orvosolja, illetve a csapat a kevésbé fajsúlyos bugok kigyomlálásán is dolgozik.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A blogposzt arra is figyelmeztet, hogy bár a hiba kapcsán több, a felhasználók által talált, áthidaló megoldás is felmerült, ezek használatát a szervezet nem javasolja, mert problémákat okozhatnak a hivatalos javítással. Ilyen volt például a digitális aláírások ellenőrzésének teljes kikapcsolása a kiegészítőknél, ami biztonsági szempontból aggályos, vagy épp a rendszeróra visszaállítása, hogy a böngésző még ne tekintse lejártnak az érintett tanúsítványt - ez pedig más alkalmazások működését zavarhatja meg. Szerencsére ilyen kerülőutakra a 66.0.4-es kiadással már nincs szükség.

A Mozilla egyébként épp a napokban jelentette be, hogy hamarosan sokkal szigorúbban vizsgálja majd a publikált kiegészítőket, és csak azoknak ad zöld utat, amelyek kódját a fejlesztők szabadon olvashatóvá teszik a szervezet szakemberei számára.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról