Mozilla责备“联锁复杂系统”和Firefox可能附加中断的混乱
Mozilla发布了多个后行动报告,分析了可能在最具Firefox附加组件中瘫痪的主要混合。报告还提出了预防未来类似事件的建议。
惨败起到下午8点以后开始在5月3日星期五,当经过数字签署Firefox Extensions的证书到期时,200日。由于Mozilla忽略了续订证书,因此Firefox假设的附加组件无法信任 - 它们是潜在的恶意 - 并禁用任何已经安装的。出于同样的原因,无法将附加组添加到浏览器中。
[进一步阅读:14必须有Firefox附加组件]Mozilla通过其研究系统将停止差距修复赶到浏览器,通常负责将测试代码推到小组或收集对赞助内容的反应数据的基础设施。因为研究方法没有到达每个人,5月5日,5月7日Mozilla发货了两个Firefox更新 - 66.0.4和66.0.5 - 解决了证书乱七八糟。
“每个人都问的第一个问题是,”你是如何让这发生的?“”将Firefox的CTO eric Rescorla写在公司博客的帖子中。“在高水平,故事似乎很简单:我们让证书到期。这似乎是一个简单的规划失败。“
然而,Rescorla对表征有争议。说这种情况是“更复杂”,他说,负责任的团队知道证书已经过期,但假设浏览器会忽略到期日期,因为在较早的事件证书检查中已被禁用。“这导致了对中间证书检查状态的困惑。此外,Firefox QA计划并没有加入对证书到期的测试,因此检测到问题。这似乎是我们测试计划的根本监督。“
其他人在单独的后期中涵盖了不同角度的危机,包括事件报告和技术报告。
后者,由Peter Saint-Andre和Matthew Miller,一个主要的软件工程师和高级员工工程师撰写,得出了类似的结论。“这一事件不是任何杀戮或团队的错,但却是拥有互锁的复杂系统集的结果,这些复杂系统并不是在所有相关团队中都能理解的,”两篇写道。
Saint-Andre和Miller报告中的细节是,Mozilla向QA(质量保证)检测到认识到SoftVision,这是一个与印度和乌克兰的办公室分散到罗马尼亚和美国缺乏内部的办公室或者随叫随到的QA资源导致了各种平台上建议修复的延迟,因为我们的外部团队无法立即通过正常渠道可用,“Saint-Andre和Miller表示。“事实上,与inpidual SoftVision团队成员的参与才能引入法律并发症和数据泄漏的潜力。”
虽然Rescorla在附加停机后不久,在博客文章中阐述了一些Mozilla的失败,但他承诺了一个推荐的改变后的后续许可。他的7月12日和7月2日由圣安德里和米勒报告良好的承诺。
在此建议中:一种快速响应的修补程序 - 传送机制,可以将紧急更新推向Firefox用户。
5月,Mozilla很快为Firefox的桌面版本创建了临时修复,并使用研究系统将修补程序推到浏览器。Mozilla转向研究,尽快部署修补程序,而不是让用户等待完整的浏览器更新。然而,有些人报告说他们没有收到修补程序,或者它没有启用Firefox的附加组件。如果用户已禁用研究,则可能出于隐私原因(默认情况下,机制已打开),例如,它们不会得到补丁。
“这里的课程是我们需要一种允许快速更新的机制,即”T耦合遥测和研究“,争夺Rescorla。“我们想要的属性是能够快速将更新部署到启用自动更新的用户。这是我们的工程师已经在努力的东西。“
Saint-Andre和Miller回声Rescorla,但还详细讨论了Firefox附加组件的加密签名。
“最根本的根本上,完整的Firefox团队并不常见地了解Firefox附加组件的密码签名的角色,函数和操作,”他们写道。“虽然签署附加组件有几个有利的原因(监视未在AMO上托管的加载项,但是通过链接到Mozilla Root的加载项,提供加密保证,基本上没有共享的共识这样做的理由。此外,维护完整的公钥基础设施(PKI)是一个复杂的任务,我们不一定坚定地掌握了涉及的工程和业务权衡。“
他们建议制作更多完整的文档,以便每个人都知道附加签名工作,并假设Mozilla致力于当前附加签名方法,即“到我们的证书管理流程,特别是我们的关键过渡策略。 “
Mozilla.Mozilla的事件报告包括附加崩溃的详细时间表,从将于21天后到Firefox用户的最终修复程序到期的证书。Mozilla的一些聪明的摇摆着名叫图形armagaddon-timeline.prg!