最后更新于:
1 week, 2 days ago
16% 的用户认为有帮助
Firefox 要求大多数附加组件程序在安装前必须经过 Mozilla 的数字签名验证。这一流程有助于保护用户免受可能劫持浏览器、窃取信息或植入垃圾广告的恶意附加组件侵害。
我们理解部分用户认为此限制影响了选择自由。虽然该政策在标准版 Firefox 中不可关闭,但用户仍可自主选择安装哪些已签名的附加组件,开发者也有明确的附加组件签名获取指南。
本文将说明:
- 为何强制执行附加组件签名
- 哪些附加组件需要签名
- 未签名附加组件的处理方式
- 高级用户和开发者的替代方案
目录
能够未经用户同意擅自更改浏览器设置或窃取信息的 附加组件 正变得日益普遍。部分扩展可能会添加不需要的工具栏或按钮、修改搜索设置,甚至向计算机植入广告。Firefox现已对用户安装的扩展进行数字签名验证,确保其均通过Mozilla官方签名。本文将详细说明“扩展签名”功能及其运行机制。
什么是附加组件签名?
附加组件 为 Firefox 提供了强大的定制功能。但近年来,恶意或具有欺骗性的附加组件日益增多,它们可能:
- 未经许可更改您的主页或搜索设置
- 向页面植入广告、跟踪器或工具栏
- 窃取浏览数据或登录凭证
为降低这些风险,Mozilla 会对附加组件进行审核并施加数字签名。只有已签名的附加组件才能在正式版 Firefox 中运行。
所有托管在 addons.mozilla.org 的附加组件均需通过此流程才能获得签名。其他网站分发的附加组件也需遵循相同规范方可获得 Mozilla 签名。
哪些类型的附加组件需要被签名?
以下类型的组件必须经过签名:
以下类型的组件无需签名:
- 插件
- 搜索引擎
安装未签名附加组件会怎样
- Firefox 会阻止未签名附加组件的安装。
- 若已安装未签名组件,Firefox 将自动禁用它并在附加组件管理器中显示通知。
- 如果存在已签名版本,您可从 Firefox 附加组件官网 重新安装。
若附加组件被 Firefox 禁用
- 检查更新:确保您运行的是最新版 Firefox。旧版本可能无法验证附加组件。
- 参阅:更新 Firefox。
- 查找已签名版本:访问 addons.mozilla.org (AMO) 查看开发者是否发布了已签名版本。
- 联系开发者:若没有已签名版本,可联系开发者并请求其 提交附加组件进行签名。
如需使用未签名附加组件有哪些选择?(高级用户)
请务必在您对高级设置十分熟悉并了解潜在影响的情况下才这么做。
标准版 Firefox 禁止安装未签名附加组件,但以下特殊版本提供更灵活的选项:
- Firefox 延长支持版 (ESR):早期版本允许覆盖验证,但最新 ESR 版本同样强制要求签名。
- Firefox 开发者版 与 每夜版:可禁用签名检查以进行测试。
- 无品牌标识的 Firefox 版本:允许关闭签名强制验证,但主要面向开发者和组织用户。
在支持此功能的版本中修改签名验证设置的方法:
- 在地址栏输入 about:config 并按 Enter 键。
- 点击“接受风险并继续”。
- 搜索以下首选项:
- xpinstall.signatures.required(针对扩展)
- extensions.langpacks.signatures.required(针对语言包)
- 将设置切换为 false。
开发者须知
若您为附加组件开发者:
- 所有附加组件均需提交签名,即使通过 addons.mozilla.org (AMO) 以外渠道分发。
- 签名可确保您的附加组件通过基础安全检测。
- 参阅:附加组件签名与分发指南 及 审核政策。
用户自主权与 Mozilla 理念
我们理解部分用户坚持应拥有在计算机上安装任意软件的自主权。Mozilla 在尊重此权利的同时,也需履行保护大多数用户免受恶意附加组件侵害的责任。
虽然正式版不支持未签名附加组件,但高级用户和开发者仍可通过特殊版 Firefox 绕过签名验证。这一方案在保护广大用户安全的同时,也为有特殊需求者保留了灵活性。
