Firefox wymaga, aby większość dodatków przed instalacją była cyfrowo podpisana przez Mozillę. Proces ten chroni przed złośliwymi dodatkami, które mogłyby przejąć kontrolę nad przeglądarką, wykradać dane lub wstawiać niechciane reklamy.
Wiadomo, że część użytkowników uważa to za ograniczenie swobody wyboru. Mimo że zasada ta nie jest opcjonalna w standardowych wydaniach Firefoksa, nadal istnieje możliwość wyboru dodatków do instalacji, a programiści mają jasne wytyczne dotyczące podpisywania swoich dodatków.
W tym artykule opisano:
- dlaczego podpisywanie dodatków jest wymagane,
- które dodatki wymagają podpisu,
- co się dzieje, jeśli dodatek nie jest podpisany,
- opcje dla zaawansowanych użytkowników i programistów.
Spis treści
Dodatki zmieniające ustawienia przeglądarki albo zbierające informacje bez zgody użytkownika stały się bardzo powszechne. Niektóre dodają niepożądane paski narzędzi albo przyciski, inne zmieniają ustawienia wyszukiwania, dodają reklamy lub złośliwe oprogramowanie. Firefox sprawdza teraz, czy instalowane dodatki zostały podpisane cyfrowo przez Mozillę. W tym artykule wyjaśniono funkcję podpisywania dodatków i sposób jej działania.
Na czym polega podpisywanie dodatków?
Dodatki umożliwiają szeroką personalizację Firefoksa. Ostatnio złośliwe lub wprowadzające w błąd dodatki pojawiają się coraz częściej. Mogą one:
- Bez zgody użytkownika zmieniać stronę startową lub ustawienia wyszukiwania.
- Wstawiać reklamy, moduły śledzące lub paski narzędzi do stron.
- Wykradać dane przeglądania lub dane logowania.
Aby ograniczyć te zagrożenia, Mozilla weryfikuje dodatki i nadaje im cyfrowy podpis. W wydaniach finalnych Firefoksa mogą być uruchamiane tylko podpisane dodatki.
Wszystkie dodatki umieszczane w serwisie addons.mozilla.org muszą przejść proces podpisywania. Dodatki dostępne na innych witrynach, aby otrzymać podpis cyfrowy Mozilli, muszą spełniać te same wytyczne.
Które dodatki muszą być podpisane?
Podpisu wymagają:
- Rozszerzenia – dodatki zwiększające funkcjonalność Firefoksa.
- Motywy – dodatki zmieniające wygląd Firefoksa.
- Pakiety językowe.
Podpisu nie wymagają:
- wtyczki,
- wyszukiwarki.
Co się dzieje przy próbie zainstalowania niepodpisanego dodatku?
- Firefox blokuje instalację niepodpisanych dodatków.
- Jeśli taki dodatek jest już zainstalowany, Firefox automatycznie go wyłączy i wyświetli komunikat w menedżerze dodatków.
- Jeżeli istnieje podpisana wersja dodatku, można ją ponownie zainstalować z oficjalnej witryny dodatków dla Firefoksa.
Firefox powoduje wyłączanie dodatków
- Sprawdź aktualizacje – upewnij się, że jest używana najnowsza wersja Firefoksa. Starsza wersja może nie weryfikować dodatków.
- Zobacz artykuł: Aktualizacja Firefoksa.
- Poszukaj podpisanych wersji – odwiedź witrynę addons.mozilla.org (AMO), aby sprawdzić, czy deweloper opublikował zaktualizowaną wersję.
- Skontaktuj się z deweloperem – jeśli podpisana wersja nie istnieje, można poprosić dewelopera o przesłanie dodatku do podpisania.
Jakie użytkownik ma możliwości, jeśli chce użyć niepodpisanego dodatku?
Kontynuuj tylko wtedy, gdy nie masz trudności z zaawansowanymi ustawieniami i rozumiesz ich potencjalny skutek.
Standardowe wersje Firefoksa nie obsługują niepodpisanych dodatków. Istnieją jednak specjalne wersje przeglądarki, które zapewniają większą elastyczność:
- Firefox Extended Support Release (ESR) – niektóre wydania umożliwiały wyłączenie weryfikacji, lecz w najnowszych wydaniach ESR podpisywanie jest również wymagane.
- Firefox Developer Edition i Nightly – w tych wersjach w celach testowych można wyłączyć sprawdzanie podpisów.
- Wydania Firefoksa nie posiadające znaku firmowego Mozilli – te wersje umożliwiają wyłączenie wymogu podpisu, ale są przeznaczone głównie dla deweloperów i organizacji, które stworzyły te wydania.
Aby zmienić ustawienie dotyczące weryfikacji podpisów w obsługiwanych wydaniach:
- W pasku adresu wpisz about:config i naciśnij Enter.
- Kliknij .
- W wyświetlonym oknie wyszukaj:
- xpinstall.signatures.required (rozszerzenia)
- extensions.langpacks.signatures.required (pakiety językowe)
- Kliknij przełącznik
, by przełączyć ustawienie na false.
Dla deweloperów
Jeśli jesteś deweloperem dodatków:
- Wszystkie dodatki muszą zostać przesłane do podpisania, nawet jeśli są dystrybuowane poza addons.mozilla.org (AMO).
- Procedura ta zapewnia przejście podstawowych testów bezpieczeństwa.
- Zobacz artykuły: Signing and distributing your add-on oraz Review Policies.
Autonomia użytkownika i filozofia Mozilli
Wiadomo, że część użytkowników uważa, iż powinna mieć pełną swobodę instalowania na komputerze dowolnego oprogramowania. Mozilla stara się zrównoważyć tę autonomię z odpowiedzialnością za ochronę większości użytkowników przed szkodliwymi dodatkami.
Choć w wydaniach standardowych niepodpisane dodatki nie są obsługiwane, użytkownicy zaawansowani i deweloperzy nadal mogą korzystać ze specjalnych wersji Firefoksa, aby obejść wymóg podpisu. Takie rozwiązanie chroni większość użytkowników, a jednocześnie zapewnia elastyczność tym, którzy jej potrzebują.