Mozilla责备“联锁复杂系统”和Firefox可能附加中断的混乱
您需要了解Apple的1亿美元英特尔5G调制解调器投资
Eagle Eye旨在引导“All-In”Google云平台迁移
华为在解决安全问题方面没有取得进展
谷歌抨击公共云竞争对手的“误解”开源社区
80万购物商现在支持Apple Business Chat
Win101803和1709的新累计更新 - 以及1809年的味道可能是正确的
Auto Trader UK通过Google Cloud,Kubernetes和Istio采用削减IT资源使用
数据作为自动化云数据平台作为Automatrix
政府在教育技术战略中投资10万英镑
Apple结果:重要的数字
人们对Apple的iPhone 11,电视+和卡片的看法
关于Android升级的警告在2019年的一句话
马来西亚获得第一个Ai Park
Google Delays Hoogouts Guite客户的迁移截止日期
微软意外地声明Win10,版本1809准备好了
Lexipol如何将100 VM从VMware迁移到Nutanix
GDPR有机会改进数据系统和流程
Microsoft为攻击提供了紧急补丁,即
自信的BT组呼吁OpenReach以更快地构建全纤维
Firefox设置为3月升级的沉默自动播放音频
新加坡推出区块链平台,以验证教育证书
新加坡政府在公共部门审查数据安全
Apple的小丝绸实验室购买推动AI到边缘
微软在Windows 10 1809上扔进毛巾
邮局“缺乏人性”在治疗亚浦背车时,对手说
苹果如何在今年改善iCloud
团队如何帮助Ferguson的前线工人
由于威胁增殖,公司敦促建造新的恶意软件和策略
Gartner:准备好在工作场所中的更多AI
kee-berk安装Windows补丁的情况
使用Anthos,Google旨在统一开源云技术
微软努力支持分散的身份
英国推出了世界上第一个在线安全法规
三星Galaxy Fold:创新迷恋
NCSC敦促更好的在线安全实践
英国委员会团队提升网络安全
数字购物危害零售就业
谷歌在机器学习中倍增,推动全球数据中心舰队的能源效率
LinkedIn安全证书更新中的失效
OpenReach延伸北爱尔兰北部全纤维建设
面试:DWP Dojo如何创新
关于Apple的Q2 19结果所需的一切
虚拟助手的垮台(到目前为止)
Mozilla推出免费浏览器(任何浏览器)文件共享服务
挪威铝制生产者受到“广泛”的网络攻击
框架创始人在澳大利亚谈论VDI方法
Microsoft Spins Spins安全,来自Microsoft 365为E3客户的最敏感计划的合规性比特
zoho一个获取新的工作流管理应用程序,电话功能
Azure Stack HCI:超融合,但不像你想象的那样天真
您的位置:首页 >政策法规 >

Mozilla责备“联锁复杂系统”和Firefox可能附加中断的混乱

2021-08-28 18:44:04 [来源]:

Mozilla发布了多个后行动报告,分析了可能在最具Firefox附加组件中瘫痪的主要混合。报告还提出了预防未来类似事件的建议。

惨败起到下午8点以后开始在5月3日星期五,当经过数字签署Firefox Extensions的证书到期时,200日。由于Mozilla忽略了续订证书,因此Firefox假设的附加组件无法信任 - 它们是潜在的恶意 - 并禁用任何已经安装的。出于同样的原因,无法将附加组添加到浏览器中。

[进一步阅读:14必须有Firefox附加组件]

Mozilla通过其研究系统将停止差距修复赶到浏览器,通常负责将测试代码推到小组或收集对赞助内容的反应数据的基础设施。因为研究方法没有到达每个人,5月5日,5月7日Mozilla发货了两个Firefox更新 - 66.0.4和66.0.5 - 解决了证书乱七八糟。

“每个人都问的第一个问题是,”你是如何让这发生的?“”将Firefox的CTO eric Rescorla写在公司博客的帖子中。“在高水平,故事似乎很简单:我们让证书到期。这似乎是一个简单的规划失败。“

然而,Rescorla对表征有争议。说这种情况是“更复杂”,他说,负责任的团队知道证书已经过期,但假设浏览器会忽略到期日期,因为在较早的事件证书检查中已被禁用。“这导致了对中间证书检查状态的困惑。此外,Firefox QA计划并没有加入对证书到期的测试,因此检测到问题。这似乎是我们测试计划的根本监督。“

其他人在单独的后期中涵盖了不同角度的危机,包括事件报告和技术报告。

后者,由Peter Saint-Andre和Matthew Miller,一个主要的软件工程师和高级员工工程师撰写,得出了类似的结论。“这一事件不是任何杀戮或团队的错,但却是拥有互锁的复杂系统集的结果,这些复杂系统并不是在所有相关团队中都能理解的,”两篇写道。

Saint-Andre和Miller报告中的细节是,Mozilla向QA(质量保证)检测到认识到SoftVision,这是一个与印度和乌克兰的办公室分散到罗马尼亚和美国缺乏内部的办公室或者随叫随到的QA资源导致了各种平台上建议修复的延迟,因为我们的外部团队无法立即通过正常渠道可用,“Saint-Andre和Miller表示。“事实上,与inpidual SoftVision团队成员的参与才能引入法律并发症和数据泄漏的潜力。”

虽然Rescorla在附加停机后不久,在博客文章中阐述了一些Mozilla的失败,但他承诺了一个推荐的改变后的后续许可。他的7月12日和7月2日由圣安德里和米勒报告良好的承诺。

在此建议中:一种快速响应的修补程序 - 传送机制,可以将紧急更新推向Firefox用户。

5月,Mozilla很快为Firefox的桌面版本创建了临时修复,并使用研究系统将修补程序推到浏览器。Mozilla转向研究,尽快部署修补程序,而不是让用户等待完整的浏览器更新。然而,有些人报告说他们没有收到修补程序,或者它没有启用Firefox的附加组件。如果用户已禁用研究,则可能出于隐私原因(默认情况下,机制已打开),例如,它们不会得到补丁。

“这里的课程是我们需要一种允许快速更新的机制,即”T耦合遥测和研究“,争夺Rescorla。“我们想要的属性是能够快速将更新部署到启用自动更新的用户。这是我们的工程师已经在努力的东西。“

Saint-Andre和Miller回声Rescorla,但还详细讨论了Firefox附加组件的加密签名。

“最根本的根本上,完整的Firefox团队并不常见地了解Firefox附加组件的密码签名的角色,函数和操作,”他们写道。“虽然签署附加组件有几个有利的原因(监视未在AMO上托管的加载项,但是通过链接到Mozilla Root的加载项,提供加密保证,基本上没有共享的共识这样做的理由。此外,维护完整的公钥基础设施(PKI)是一个复杂的任务,我们不一定坚定地掌握了涉及的工程和业务权衡。“

他们建议制作更多完整的文档,以便每个人都知道附加签名工作,并假设Mozilla致力于当前附加签名方法,即“到我们的证书管理流程,特别是我们的关键过渡策略。 “

Mozilla.

Mozilla的事件报告包括附加崩溃的详细时间表,从将于21天后到Firefox用户的最终修复程序到期的证书。Mozilla的一些聪明的摇摆着名叫图形armagaddon-timeline.prg!

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。