Mozilla Firefox 已开始在 AMO 实施扩展强制签名

最近两天升级firefox扩展,用户可以看到这升级的扩展名后面躲了一个标识 -signed,

Mozilla 在官方博客更新了他们对于在 AMO 推动扩展强制签名项目的进展。同时向 AMO 上的开发者发送有关事项说明的邮件。

主要宣布以下一些内容:
1、从 5月28日开始,所有扩展开发者在 AMO 上传过的最近一个版本会自动添加签名。
2、从 6月1日开始,新的附加组件分发开发者协议生效,所有经过 AMO 新审核通过的扩展都会自动添加签名。
3、对于没有托管在 AMO 的扩展,从 6月1日开始,AMO 会在提交环节新增一个单独的选项,给不想托管在 AMO 的开发者使用,来签名他们的扩展,这是一个自动化流程。这也表示不想托管在 AMO 的开发者也必须到 AMO 注册账号。
4、从 6月15日开始,Firefox 40 以上版本默认禁用未签名的扩展,但提供跳过签名检查的选项。
5、Firefox 41 进入 beta 测试时候(8月11日),就连跳过签名检查也不行了。

AMO注册:https://addons.mozilla.org/zh-tw/firefox/users/register

开发者邮件原文:

Dear add-on developer,

Mozilla will begin signing all add-ons in order to protect users from
malware and extensions that haven't been reviewed. Here's what you need
to know about the new process:

No action is required for add-ons distributed via addons.mozilla.org (AMO). On May 28, 2015,
the latest versions of your existing add-ons will be automatically
signed and pushed as updates to your users, after which you will receive
an email notification. Starting on June 1, all files you submit will be signed after they pass review.

If you have add-ons that are not distributed via AMO, including beta
versions or debug builds, there will be a new option in the add-on
submission process to submit these as unlisted add-ons starting on June 1. Starting around June 15th,
users of builds based on Firefox 40 or higher (currently Nightly and
Developer Editions) will see unsigned add-ons disabled by default, with
the option to bypass the signature check to re-enable them. Users will
no longer be able to bypass the signature check when builds based on
Firefox 41 reach beta, on or around August 11.

The Firefox add-on distribution agreement has also been updated to
reflect the new distribution options and clarify our review policies.
You can read the updated agreement here: https://developer.mozilla.org/Add-ons/AMO/Policy/Agreement

If you have any questions or concerns, read the add-on signing FAQ or visit our forums:
FAQ: https://wiki.mozilla.org/Addons/Extension_Signing
Forums: https://forums.mozilla.org/viewforum.php?f=7

Sincerely,
The Add-ons Team

据悉:Fiefox 40 是默认禁用没有签名认证的扩展,但你可以通过 about:config 取消检查恢复使用。Firefox 41 beta 就完全禁用没有签名的扩展而且无法取消了。
现在 Nightly 已经给出警告了啊。一些扩展直接被禁用了,比如老版本的 IDM CC 扩展。

据悉esr版本还可以用比较久

关于 Firefox 即将强制要求附加组件签名的常见问题解答

什么类型的附加组件需要签名?
答:只有扩展(install.rdf 里的 type 2)需要签名。主题、词典、语言包和插件不需要签名。

Thunderbird、Seamonkey、Palemoon 等其他程序需要扩展签名吗?
答:各自项目的带头人自己决定是要强制签名、提供为选项还是默认不签名。我们暂时没听说其他程序计划支持扩展签名。

已签名的扩展能在其他程序或旧版本 Firefox 里运行吗?
答:可以,签名系统是在现有的附加组件签名方式基础上构建的,Firefox 和其他程序已经支持这种签名方式很多年了。

会提供设置或其他覆盖方式禁用签名检查吗?
答:不会,Firefox 正式版和 Beta 不会提供任何方式禁用签名检查。

如果我要在 Firefox 安装未签名的扩展有什么选择
答:Firefox 开发者版本和 Nightly 会提供选项禁用签名检查。我们还会提供特殊的无品牌发行版和 Beta 版,它们也可以通过选项禁用签名检查,这样附加组件开发者就不必在每个版本都对他们的附加组件进行签名。

无品牌版本的 Firefox 将如何运行?
答:和 Firefox 一样,只有两点不同:这些版本会提供一个选项来禁用签名检查,还有就是它们不会使用 Firefox 的名称和 logo(会用一个通用的名字和 logo 代替),并且只有 en-US 语言。

企业环境下使用的私有附加组件怎么办?
答:我们还没公布这方面的计划,请耐心等待。在这段期间,ESR 至少在 45.0 版本(发布日期要到 2016 年)以前都不会支持扩展签名。

我的附加组件托管在 AMO,我要怎么让它们获得签名?
答:我们会自动为 AMO 上所有最近审核通过的版本添加签名,今后也会自动为所有通过审核的版本添加签名。

我的附加组件不在 AMO,又该如何获得签名?
答:你需要创建一个 AMO 账号并提交你的附加组件,我们会提供给你一个选项注明你的附加组件没有托管在 AMO,这样你可以在不发布到我们网站的情况下提交你的附加组件文件。

签名过程是怎么样的?
答:提交签名的文件会进入一个自动审核的流程,一旦通过审核,它们会自动添加签名并发回给开发者。这个流程正常情况下只要几秒钟。 如果文件没有通过审核,开发者还可以请求进行人工审核,一般是两天之内审核完毕。这个流程和目前 AMO 附件组件审核流程不一样,现在的流程更慢。

那么 AMO 上的 Beta 版本附加组件呢?它们可以被审核和签名吗?
答:可以,Beta 版本会被当成非正式托管在 AMO 的附加组件,一旦验证通过也可以自动添加签名。

有些现有的附加组件我会添加自己的代码和语言或进行其他操作,这些自定义版本的附加组件也得签名吗?
答:如果你把他用在正式版或 Beta 版,那就得先获得签名。提交给我们签名的话你得修改附加组件的 ID。

Mozilla 这么做是要审查它们不喜欢的附加组件,或强制推行知识产权保护,又或者是政府要求的吗?
答:不,这么做的目的是保护用户免受恶意附加组件的骚扰。对于什么时候合适把某个附加组件添加到 blocklist 我们有明确的指导方针 ,并且多次拒绝根据其他原因进行屏蔽。

会提供一个上传和签名 API 吗,我不想手动上传每个新版本?
答:我们还没把这部分计划列入第一期项目。不过我们已经收到足够多这方面的要求,接下来我们会研究一下怎么实现。

这么做可以保护用户免受所有形式恶意附加组件的骚扰吗?
答:不行,这个问题没有完美的解决办法,对付恶意附加组件需要各个级别的防护,包括:操作系统、应用程序、用户甚至整个行业。扩展签名在解决该问题上前进了一大步,但在给用户带来最好体验这方面,我们还有很长的路要走。

选译自:Mozilla Wiki: Extension Signing

原文链接:http://allinfa.com/mozilla-firefox-amo-signed.html
※ 除声明转载,美博园文章均为"原创",软件版权归原作者,转载请以上面超链接注明来源!

网 友 留 言

3条评论 in “Mozilla Firefox 已开始在 AMO 实施扩展强制签名”
  1. Andrzeja says:

    BlackBelt Privacy - Tor+WASTE+VoIP
    A simple to install and use Tor client / server with WASTE and VoIP
    Update: 20 hours ago
    ....
    MicroSip: enables FREE PC to PC calling with no account sign-up and no middleman server.
    WASTE: enables chat, file transfer and support.
    Tor: enables safer browsing. 
    As with all versions of Tor - do not rely on this for strong anonymity.
    A usability enhanced Privacy Pack.
    An installer, for : 
    Windows XP 32/64, Vista 32/64, Win7 32/64, Win8 32/64.
    Features
    *** NOW WITH *** Serverless, Accountless Pc 2 Pc calling via MicroSip VoIP
    Just enter sip:x@IP:port of another user, click call and then talk.
    Simple to use. Choose your Tor mode from the installer and go...
    Streamlined Installation Package.
    Integrates seemlessly into an existing Firefox as a new profile. All traces removed on uninstall
    Your Tor only Firefox Profile is automatically set up for you, including its plugins.
    As a result, you benefit from ALL firefox fixes provided you run the latest version.
    Tor has 5 Modes, Standard / Censored Client, Bridge, Relay and Exit - choose between at install time.
    NoScript is provided. JavaScript is switched off for you by default, giving you a choice of what content you view.
    ABE Application Boundery Enforcement is also switched on by default.
    Friendly support provided, via WASTE darkNet().
    No additional configuration necessary for server, client, darkNet(), Firefox or MIcroSIP
    Optional Relaying, bandwidth restricted. 0->200Mb or 0->500Mb per day - its your choice.
    Regularly updated - we ensure you get the best out of Tor.
    *** NOW UPDATED : includes Tor: 0.2.6.8.
    *** NOW UPDATED : WASTE updated to 1.8 beta ( build 27 )
    *** NOW UPDATED : includes MicroSip 3.9.6 SIP VoIP solution.
    NOTE: Screen shots may differ due to our continuous development cycle.
    NOTE : PAD Files Available.
    WARNING : The NULLNET that WASTE initially connects to is semi-dark..
    WARNING : Please complete darkLock() and then enable encryted chats for maximumsecurity.
    WARNING : You are advised to generate your own networks with peers.
    THANK YOU to our users and reviewers. We hope we can keep you happy.
    *** Works Great with other Products in the BlackBelt series
    Download :
    http://sourceforge.net/projects/blackbeltpriv/files/stable/
    "BlackBelt Privacy 4.2015.06.exe < 7 hours ago 15.8 MB"

    ["你好"]

这里是你留言评论的地方

8 + 6 =

【您可以使用 Ctrl+Enter 快速回复】

Copyright © 2007 - 2017 , Design by 美博园. 版权所有. 【回到顶部】