أسبوع الأمان 20: تعطيل ملحقات Firefox

في الرابع من مايو ، في الساعة الرابعة صباحًا في موسكو (أو بعد ذلك بقليل ، اعتمادًا على الحظ) ، توقفت جميع الملحقات المثبتة عن العمل مع مستخدمي متصفح Firefox ، وأصبح تثبيت الوظائف الإضافية الجديدة أمرًا مستحيلًا. كانت المشكلة في جانب المتصفح - انتهت صلاحية الشهادة الوسيطة ، التي يتم بواسطتها توقيع جميع الامتدادات. هذا الحدث له علاقة غير مباشرة بأمن المعلومات - نشأ الحظ السيئ نتيجة الرغبة المنطقية للمطورين في حماية المستخدمين من الإضافات الضارة (بدءًا من عام 2015) وبسبب حقيقة أن أحداً لم يلاحظ أن الشهادة ستنتهي صلاحيتها قريبًا.

ومع ذلك ، هذه قصة مثيرة للاهتمام مع نهاية سعيدة إلى حد ما: تم حل مشكلة غير تافهة إلى حد ما في غضون 12 ساعة. هذا أيضًا حادث موثق جيدًا ، مع الكثير من المعلومات من كل من المطورين وكميات هائلة من الدراما من المستخدمين. في هذه العملية ، نشأت مشكلة الخصوصية ، والتي تم حلها بشكل فعال للغاية.

ظهرت التقارير الأولى عن مشاكل الامتدادات قبل انتهاء صلاحية الشهادة ، 3 مايو. هناك واحد على الأقل مثل هذه المناقشة على رديت. كان لدى مؤلف سلسلة الرسائل على الكمبيوتر تعيين تاريخ خاطئ ، لذلك كان أحد أول من اكتشف الأخطاء (و "إصلاحها" عن طريق تحديد التاريخ الصحيح ، ولكن ليس لفترة طويلة). بعد ذلك بقليل ، ظهرت المشكلة لجميع المستخدمين ، ولكن في أوقات مختلفة: يتم التحقق من صلاحية الشهادات التي يتم توقيع الامتدادات مرة واحدة كل 24 ساعة. يتم وصف المزيد من التاريخ بدرجات متفاوتة من التفاصيل هنا: الأخبار ، تقرير عن الأخطاء ، الدعم الفني ، منشور في المدونة مع التفاصيل الفنية ، وقصة عن الحادث نيابة عن CTO Firefox.


هذه هي الطريقة التي تبدو بها عملية توقيع الامتدادات في Firefox. شهادة الجذر الموجودة في الجزء العلوي من السلسلة موجودة في وحدة التخزين دون اتصال ، ومرة ​​واحدة كل عدة سنوات يتم إنشاء شهادة وسيطة يتم توقيع الامتدادات بواسطتها. كانت الشهادة المؤقتة التي انتهت صلاحيتها في 4 مايو. كان الحل الأول من جانب مطوري Firefox هو إصدار تصحيح توقف مؤقتًا عن التحقق من صحة شهادات الامتداد. إذا طار مثل هذا التصحيح قبل الفحص ، فانتقلت المشكلة إليك. علاوة على ذلك ، كان لدى المطورين طريقتان: إصدار إصدار جديد من Firefox ، أو شهادة جديدة ، مما سيجعل توقيعات الإضافات صالحة في الإصدار الحالي. كان من المستحيل إعادة توقيع جميع الإضافات (أكثر من 15 ألف). بتعبير أدق ، ربما ، لكنه استغرق وقتاً طويلاً للغاية.


بالنظر إلى المواعيد النهائية الضيقة (اكتشفوا المشكلة في فايرفوكس مساء يوم 3 مايو ، بالطبع ، يوم الجمعة!) ، فقد تقرر التحقيق في كلا الخيارين. من الناحية الفنية ، كانت هناك فرصة لإصدار شهادة جديدة ، أ) كان من الضروري إنشاء هذه الشهادة و (ب) تسليمها إلى المستخدمين في أسرع وقت ممكن. تم تعقيد الجزء الأول من حقيقة أن شهادة الجذر مخزنة في وحدة الأجهزة ، والتي لا تزال بحاجة إلى الوصول إليها ( في الغابة؟ في خلية البنك؟ ). بالإضافة إلى ذلك ، عندما وصل المطورون إلى شهادة الجذر ، لم يكن من الممكن إنشاء شهادة وسيطة جديدة على الفور ، وهذا أدى في كل مرة إلى فقدان ساعة أو ساعتين للاختبارات اللازمة. كيفية تقديم؟ للقيام بذلك ، استخدمنا آلية دراسات Firefox - في الواقع ، نظام توزيع الوظائف الإضافية "من مطور المتصفح" ، والذي في الحالات العادية مخصص للرمز التجريبي. لقد اتضح بشكل أسرع من إنشاء بنية جديدة وإرسال التحديث عبر القنوات العادية.


ولكن هنا نشأت نفس مشكلة الخصوصية. يتم تضمين دراسات Firefox ، كنظام تجريبي ، فقط عند إرسال معلومات استخدام المتصفح إلى مطوري Firefox. هذا منطقي للاختبار التجريبي ، لكن يبدو غريباً بعض الشيء في سياق تقديم تصحيح يحتاجه جميع المستخدمين عمومًا. تم حل هذه المشكلة بأناقة: قرر Firefox إزالة جميع أجهزة القياس عن بُعد الواردة في الفترة من 4 مايو إلى 11 مايو.

هذا لم يكن حلا مثاليا. كان على أولئك الذين لديهم قياس عن بعد (والدراسات) تمكين هذه الخيارات يدويًا. في بعض البنيات هذا الخيار ليس على الإطلاق. لا يدعم إصدار Android من المتصفح الدراسات. تأثر دائمًا على مستخدمي الإصدارات القديمة من Firefox الذين لا يريدون تحديثهم ، ولكنهم يستخدمون الوظائف الإضافية. في 8 مايو ، تم إصدار إصدارات من Firefox 66.0.5 و Firefox ESR 60.6.3 ، حيث تم حل مشكلة الشهادة أخيرًا ، ولم تعد هناك حاجة إلى تضمين الدراسات ذات القياس عن بُعد. تم التخطيط للتحديثات للإصدارات القديمة من المتصفح ، بدءًا من Firefox 52. تم حل المشكلة ، لكن بالنسبة لكثير من المستخدمين لم تمر بدون تتبع - هناك حالات من فقدان البيانات والإعدادات في الملحقات.

هناك استنتاجان من هذه القصة. أولاً ، وعد Firefox بإنشاء نظام تتبع "قنبلة موقوتة" في البنية التحتية لمنع حدوث ذلك في المستقبل. ثانياً ، أصبح من الواضح أن نظام توزيع التحديث أكثر أو أقل حداثة ، مع أساليب مختلفة لتقديم تصحيحات للمستخدمين ، ليس فعالًا كما نود. وفقًا لـ CTO Firefox ، يجب أن يكون مستخدمو المتصفح قادرين على تلقي التحديثات والإصلاحات العاجلة ، حتى لو كانوا يرغبون في تعطيل أي ميزات تجريبية أخرى و / أو القياس عن بعد. هذه قصة نهاية سعيدة ، والتي قد تؤدي إلى تحسين آلية التحديث لمتصفح فايرفوكس ، وهو متصفح نادر نادر لا يرتبط بأي شركة كبرى لتكنولوجيا المعلومات. لكن لا تنسى أنها بدأت بإطلاق النار المجازية على ساقيها.

إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.