Dodatki zmieniające ustawienia przeglądarki albo zbierające informacje bez zgody użytkownika stały się bardzo powszechne. Niektóre dodają niepożądane paski narzędzi albo przyciski, inne zmieniają ustawienia wyszukiwania, dodają reklamy lub złośliwe oprogramowanie. Firefox weryfikuje zainstalowane dodatki pod kątem cyfrowego podpisu ze strony Mozilli, gwarantującego bezpieczeństwo dodatku. Poniższy tekst objaśnia w jaki sposób podpisywanie rozszerzeń utrudnia przypadkowe zainstalowanie złośliwego oprogramowania.

Na czym polega podpisywanie dodatków?

Mozilla weryfikuje i „podpisuje” dodatki, które spełniają określone wymagania związane z bezpieczeństwem. Wszystkie dodatki udostępniane na witrynie addons.mozilla.org, aby uzyskać „podpis”, muszą przejść proces weryfikacji. Dodatki udostępniane na innych witrynach, by uzyskać „podpis” Mozilli, będą również musiały przejść taki sam proces.

Podpisywanie dodatków ma na celu wykrycie złośliwego oprogramowania oraz wykrycie kodu umożliwiającego przejęcie kontroli nad przeglądarką. Proces ten nie kontroluje ani nie cenzuruje treści zawartych w dodatkach.

Firefox aktualnie używa systemu z listą blokowania. Pomimo tego, coraz trudniej jest śledzić i blokować złośliwe lub niezweryfikowane dodatki i oprogramowanie. Proces podpisywania dodatków wymaga od autorów dodatków przestrzegania zasad Mozilli (w języku angielskim). Podpisywanie dodatków w Firefoksie pomaga zapobiec przypadkowej instalacji złośliwego oprogramowania.

Firefox zapobiega instalacji niepodpisanych dodatków i dezaktywuje wszystkie niepodpisane zainstalowane dodatki.

Jakie typy dodatków wymagają podpisywania?

Rozszerzenia (dodatki zwiększające funkcjonalność programu Firefox), pakiety językowe oraz motywy (dodatki, które zmieniają wygląd programu) muszą być podpisane. Inne typy dodatków nie muszą być podpisane.

Gdzie mogę napotkać niepodpisane dodatki?

Dodatki dostępne na oficjalnej witrynie dodatków dla Firefoksa przed opublikowaniem są poddawane testom bezpieczeństwa. Są one zweryfikowane i podpisane. Podczas próby zainstalowania dodatku z innego źródła niż oficjalna witryna dodatków dla Firefoksa, Firefox sprawdzi, czy są one podpisane cyfrowo, zanim pozwoli je zainstalować.

Co należy zrobić, jeśli Firefox wyłączy zainstalowany dodatek?

Jeśli wyłączony został niepodpisany dodatek, nie będzie on dostępny do użytku, a menedżer dodatków wyświetli komunikat, że dany dodatek "nie mógł zostać zweryfikowany do użytku w programie Firefox i został wyłączony." Możesz usunąć problematyczny dodatek z Firefoksa i zainstalować jego podpisaną wersję z oficjalnej witryny z dodatkami, jeśli jest ona tam dostępna.

Jeśli nie znajdziesz tam podpisanej wersji, skontaktuj się z autorem lub dostarczycielem dodatku, aby sprawdzić, czy mogą zaoferować zaktualizowaną i podpisaną wersję tego dodatku. Możesz także poprosić ich, aby ich dodatek został podpisany.

Dla zaawansowanych: jak mogę skorzystać z niepodpisanego dodatku?

Wersje Extended Support Release (ESR), Developer Edition i Nightly pozwalają na zmianę ustawienia wymuszającego podpisywanie rozszerzeń, poprzez zmianę wartości ustawienia xpinstall.signatures.required na false w edytorze konfiguracji Firefoksa (stronie about:config). Aby zainstalować niepodpisany pakiet językowy, należy ustawić preferencję extensions.langpacks.signatures.required na false. Istnieją również specjalne, pozbawione znaków towarowych wersje Firefoksa, które pozwalają na zmianę tego ustawienia. Więcej informacji na ten temat znajdziesz na stronie Add-ons/Extension Signing (w jęz. angielskim).