Pada tanggal 4 Mei, jam empat pagi di Moskwa (atau beberapa saat kemudian, tergantung keberuntungan), semua ekstensi yang dipasang berhenti berfungsi untuk pengguna peramban Firefox, dan memasang pengaya baru menjadi mustahil. Masalahnya ada di sisi browser - sertifikat perantara, yang dengannya semua ekstensi ditandatangani, telah kedaluwarsa. Acara ini memiliki hubungan tidak langsung dengan keamanan informasi - nasib buruk muncul sebagai akibat dari keinginan logis pengembang untuk melindungi pengguna dari ekstensi jahat (mulai tahun 2015) dan karena kenyataan bahwa tidak ada yang memperhatikan bahwa sertifikat akan segera kedaluwarsa.
Namun demikian, ini adalah cerita yang menarik dengan akhir yang cukup bahagia: masalah yang tidak sepele diselesaikan dalam waktu 12 jam. Ini juga merupakan insiden yang terdokumentasi dengan baik, dengan banyak informasi dari kedua pengembang dan sejumlah besar
drama dari pengguna. Dalam prosesnya, masalah privasi muncul, yang cukup efektif diselesaikan.
Laporan pertama masalah dengan ekstensi muncul sebelum sertifikat berakhir, 3 Mei. Setidaknya ada satu
diskusi tentang Reddit. Penulis utas di komputer memiliki tanggal yang salah, jadi ia adalah salah satu yang pertama mengetahui tentang bug (dan "memperbaikinya" dengan menetapkan tanggal yang benar, tetapi tidak lama). Beberapa saat kemudian, masalah muncul untuk semua pengguna, tetapi pada waktu yang berbeda: validitas sertifikat tempat ekstensi ditandatangani diperiksa setiap 24 jam sekali. Sejarah lebih lanjut dengan berbagai tingkat detail dijelaskan di sini:
berita ,
laporan bug ,
dukungan teknis ,
posting blog dengan detail teknis, dan
cerita tentang insiden atas nama CTO Firefox.
Beginilah proses penandatanganan ekstensi di Firefox. Sertifikat root di bagian atas rantai berada dalam penyimpanan offline, dan sekali setiap beberapa tahun dengan bantuannya, sertifikat perantara dibuat dengan mana ekstensi ditandatangani. Itu adalah sertifikat sementara yang berakhir pada 4 Mei. Solusi pertama pada bagian pengembang Firefox adalah pelepasan tambalan yang untuk sementara menghentikan validasi sertifikat ekstensi. Jika tambalan seperti itu terbang kepada Anda sebelum pemeriksaan, maka masalahnya telah berlalu. Lebih lanjut, pengembang memiliki dua cara: untuk mengeluarkan rilis baru Firefox, atau sertifikat baru, yang akan membuat tanda tangan ekstensi yang valid dalam versi saat ini. Tidak mungkin untuk menandatangani ulang semua penambahan (lebih dari 15 ribu). Lebih tepatnya, mungkin, tetapi itu akan memakan waktu yang sangat lama.
Mengingat tenggat waktu yang ketat (mereka mengetahui tentang masalah di Firefox pada malam 3 Mei, tentu saja, pada hari Jumat!), Diputuskan untuk menyelidiki kedua opsi. Secara teknis, ada peluang untuk mengeluarkan sertifikat baru, a) diperlukan untuk menghasilkan sertifikat ini dan b) mengirimkannya kepada pengguna secepat mungkin. Bagian pertama diperumit oleh fakta bahwa sertifikat root disimpan dalam modul perangkat keras, yang masih perlu dijangkau (
di hutan? Di sel bank? ). Selain itu, ketika pengembang mendapatkan sertifikat root, itu tidak segera mungkin untuk menghasilkan sertifikat perantara baru, dan ini setiap kali menyebabkan hilangnya satu atau dua jam untuk tes yang diperlukan. Bagaimana cara menyampaikannya? Untuk melakukan ini, kami menggunakan mekanisme Studi Firefox - pada kenyataannya, sistem distribusi add-ons "dari pengembang browser", yang dalam kasus normal dimaksudkan untuk kode eksperimen. Ternyata lebih cepat daripada membangun bangunan baru dan mengirim pembaruan melalui saluran biasa.
Tapi di sini muncul masalah privasi yang sama. Studi Firefox, sebagai sistem eksperimental, hanya disertakan ketika mengirim informasi penggunaan browser kembali ke pengembang Firefox. Ini logis untuk pengujian beta, tetapi terlihat sedikit aneh dalam konteks memberikan tambalan yang umumnya dibutuhkan semua pengguna. Masalah ini diselesaikan dengan elegan: Firefox memutuskan untuk
menghapus semua telemetri yang diterima dari 4 Mei hingga 11 Mei.
Ini bukan solusi yang ideal. Mereka yang telemetri dinonaktifkan (dan Studi) harus secara manual mengaktifkan opsi ini. Dalam beberapa build opsi ini sama sekali tidak. Versi Android browser tidak mendukung Studi. Pengguna yang terpengaruh secara permanen dari versi Firefox yang lebih lama yang tidak ingin diperbarui, tetapi menggunakan add-on. Pada tanggal 8 Mei, versi Firefox
66.0.5 dan Firefox
ESR 60.6.3 dirilis, di mana masalah dengan sertifikat akhirnya diselesaikan, dan Studi dengan telemetri tidak lagi perlu dimasukkan. Pembaruan direncanakan untuk versi browser yang lebih lama, dimulai dengan Firefox 52. Masalahnya telah diatasi, tetapi bagi banyak pengguna tidak lulus tanpa jejak - ada kasus kehilangan data dan pengaturan dalam ekstensi.
Ada dua kesimpulan dari cerita ini. Pertama, Firefox berjanji untuk membuat sistem pelacakan "bom waktu" dalam infrastruktur untuk mencegah hal ini terjadi di masa depan. Kedua, menjadi jelas bahwa bahkan sistem distribusi pembaruan yang kurang lebih modern, dengan metode berbeda untuk memberikan tambalan kepada pengguna, tidak seefektif yang kita inginkan. Menurut CTO Firefox, pengguna browser harus dapat menerima pembaruan dan perbaikan terbaru, bahkan jika mereka ingin menonaktifkan fitur eksperimental lain dan / atau telemetri. Ini adalah kisah akhir yang bahagia, yang dapat mengarah pada peningkatan mekanisme pembaruan Firefox, peramban arus utama yang langka yang tidak terikat dengan perusahaan IT besar mana pun. Tapi jangan lupa bahwa dia mulai dengan penembakan alegoris di kakinya sendiri.
Penafian: Pendapat yang dikemukakan dalam intisari ini tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.