2019-05-05

праздник security и accessibility от Mozilla

5 мая, в 00:00, вероломно, без объявления войны Mozilla Firefox отключил пользователям все подписаные аддоны с всплывающим сообщением "could not be verified for use in Firefox and has been disabled".
 При этом нельзя ни их "вернуть", ни "переставить" - появляются ошибки "download failed. please check your connection" или "addon corrupt".

Причина проста как двери - кто-то забыл что аддоны "подписываются" сертификатом, а у сертификата есть срок действия.
И естественно его "забыли" продлить и включить в апдейты обновленный сертификат.

Итог - https://bugzilla.mozilla.org/show_bug.cgi?id=1548973
Самое забавное, что баг открыли досрочно, потому что нашлись пользователи, у которых 5 мая наступило на сутки раньше чем у большинства :)
С другой стороны, по той же причине тысячи пользователей на форумах сразу же принялись делится опытом что нужно оключить что бы все работало, например так: https://www.reddit.com/r/firefox/comments/bk54mu/addonsextensions_broken/

 Паралельно мозилла задеплоила фикс - Hotfix: Update XPI signing intermediate [Bug 1548973]
Конечно же для этого фикс нужно установить.
И конечно же миллионы пользователей сами это сделать не смогут.
И конечно же ради этого делать неплановый релиз, включающий фикс никто не стал.
К счастью это делать и не нужно - у мозиллы есть бекдор специально для таких случаев - Studies.
Но естественно оказалось что: не у всех он есть вообще, а многим не нравятся бекдоры, потому его отключили.
Соответственно те кто оказался "без фикса", и при том сумел проблему диагностировать и нагуглить может фикс скачать своими силами: https://storage.googleapis.com/moz-fx-normandy-prod-addons/extensions/hotfix-update-xpi-intermediate@mozilla.com-1.0.2-signed.xpi

Но очень многие при попытках диагностики проблемы отключили себе `xpinstall.signatures.required` в about:config.  И конечно же забудут включить обратно потом, когда проблема исправится.
 Но этого мало - все отключенные аддоны нужно вручную переставить что бы снять флаг проблемы подписи.
Это можно обойти если восстановить из бекапа "extensions.json" из профиля файрфокса (все ведь делают бекапы, верно?)
Ну или на крайняк исправить в этом файле для каждого аддона свойство "signedState" из значения -1 например в 2. И перезапустить файрфокс.