Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla komt met fix voor problemen uitgeschakelde add-ons Firefox - update 2

Door een verlopen certificaat zijn voor veel gebruikers van Mozilla Firefox alle add-ons uitgeschakeld. Heractiveren en herinstalleren zijn ook geen opties. Mozilla zegt eraan te werken om het probleem zo snel mogelijk te verhelpen.

Meer informatie naast het feit dat het om een certificatenprobleem gaat, is niet beschikbaar op het moment van schrijven. Mozilla houdt gebruikers op de hoogte via een statuspagina, maar die is door alle belangstelling niet altijd even goed bereikbaar. Een indicatie voor hoe lang het probleem nog voort zal duren, is er niet.

Firefox-add-ons moeten sinds versie 48, die in 2016 uitkwam, digitaal ondertekend zijn. Dit om malwareverspreiding via malafide add-ons tegen te gaan. ZDNet schrijft dat een tijdelijke oplossing is om de computerklok en datum terug te zetten naar voor 4 mei 02:00, toen het probleem zich begon voor te doen. Ook worden workarounds gedeeld die behelzen dat de certificeringseisen tijdelijk uitgeschakeld wordt. Dit zorgt ervoor dat add-ons weer werken, maar brengt ook veiligheidsrisico's met zich mee.

Update, 13:42: Mozilla zegt op de statuspagina dat er een hotfix verspreid wordt voor de release, bèta en nightly-versies van Firefox. In de komende uren moet die vanzelf binnenkomen bij gebruikers, maar die moeten wel ingeschreven staan bij Firefox Studies, wat ook bepaalde telemetrie inschakelt. Nadat de hotfix via Studies geïnstalleerd is, kan Studies wel weer direct uitgeschakeld worden. Verdere uitleg over de fix wordt gegeven in een blogpost.

Update, zondag: Firefox versie 66.0.4 voor desktop en Android is uitgebracht en bevat een fix voor het probleem. Firefox ESR 60.6.2 heeft de fix ook. Een klein aantal add-ons kan verdwijnen uit de lijst met add-ons of aangeduid worden als 'niet compatibel'. Een herinstallatie moet dat probleem verhelpen. De data van die add-ons gaat niet verloren, stelt Mozilla. Add-ons die de Container-functionaliteit gebruiken en getroffen zijn door dit probleem, zijn wel hun data kwijt en moeten opnieuw ingesteld worden.

Door Mark Hendrikman

Nieuwsposter

04-05-2019 • 12:35

251 Linkedin Google+

Submitter: Evanescent

Reacties (251)

Wijzig sortering
Direct linkje naar de oplossing zonder met allerlei telemetry settings te hoeven klooien: https://storage.googleapi...illa.com-1.0.2-signed.xpi

Deze plugin installeren (die anders door studies gepushed wordt) en de browser restarten :Y)
Misschien goed om even een link naar de bron te plaatsen. (Verbaast me dat iedereen hieronder de code klakkeloos aanklikt en installeert.)

De bron lijkt een user genaamd "gpm" te zijn op Hacker News:
https://news.ycombinator.com/threads?id=gpm


[quote]But anyways, don't use this now, use the semi-official fix of clicking on this link and letting it install: https://storage.googleapi...illa.com-1.0.2-signed.xpi

This is the fix Mozilla has published to be installed via shield studies, but skipping the shield studies part. You can be sure it's not malicious because it is signed by Mozilla... and if your browser installed unsigned extensions you wouldn't be looking for this solution in the first place. [/quote]


Ik heb de code vluchtig bekeken, maar ik ben geen JavaScript Mozilla addon programmeur, dus ik kan gemakkelijk kwaadwillige code over het hoofd zien. Maar het draait om dit deel van de code, waarin een nieuwe certificaat wordt geinstalleerd.

[code]
// first inject the new cert
try {
let intermediate = "MIIHLTCC GEKNIPT JAT0zo4c=";
let certDB = Cc["@mozilla.org/security/x509certdb;1"].getService(Ci.nsIX509CertDB);
certDB.addCertFromBase64(intermediate, ",,");
console.log("new intermediate certificate added");
} catch (e) {
console.error("failed to add new intermediate certificate:", e);
}

// Second, force a re-verify of signatures
try {
XPIDatabase.verifySignatures();
console.log("signatures re-verified");
} catch (e) {
console.error("failed to re-verify signatures:", e);
}
[/code]

Update:
Hier nog iets meer info over deze HotFix:
https://normandy.cdn.mozilla.net/api/v1/recipe/
(Zoek naar "Hotfix: Update XPI signing intermediate".)

Omschrijving: "This is a hotfix that updates an intermediate certificate used for signing add-ons. It is one of the mechanisms used to fix bug 1548973."
In de recipe gemaakt door iemand van Mozilla en goedgekeurd door iemand anders van Mozilla.

Ipv het installeren/uitvoeren van deze xpi file kan het ook handmatig worden gedaan:
https://www.reddit.com/r/...ddons_fix_for_5602_older/
Waar handmatig een certificaat geinstalleerd wordt.

[Reactie gewijzigd door Cyb op 5 mei 2019 11:02]

Het werkt. Fantastisch. Ik hoefde de browser niet eens te herstarten.

Je moet hem wel los downloaden en importeren via de add:ons pagina.

[Reactie gewijzigd door tom.cx op 4 mei 2019 16:49]

Er is inmiddels een fix uitgerold!
12:50 p.m. UTC / 03:50 a.m. PDT: We rolled-out a fix for release, beta and nightly users. The fix will be automatically applied in the background within the next few hours, you don’t need to take active steps.

In order to be able to provide this fix on short notice, we are using the Studies system. You can check if you have studies enabled by going to Firefox Preferences -> Privacy & Security -> Allow Firefox to install and run studies.

You can disable studies again after your add-ons have been re-enabled.

We are working on a general fix that doesn’t need to rely on this and will keep you updated.
Daar mag wel even een waarschuwing bij:
Om Studies aan te zetten, moet je ook telemetrie aanzetten.
Nadat je Studies hebt aangezet even Firefox afsluiten, en weer opstarten. Anders ff een paar minuutjes geduld...
Dat noem ik geen fix maar een workaround. Je moet als gebruiker zelf nog handelingen uitvoeren en niet vergeten die optionele studies weer uit te zetten als je daarin niet mee deed. Ze gebruiken de studies nu op een manier waarop het niet bedoeld is. Bedrijven die de studies vanwege policies bijvoorbeeld niet toelaten hebben hier weinig aan.

edit:
De ontwikkelaars noemen het zelf ook geen fix maar een mitigation in hun bugreport. Mitigeren doe je als er nog geen volwaardige fix is. Dit is geen volwaardige fix juist omdat het alleen van toepassing is op een selecte set van gebruikers die een optionele feature van Firefox aan hebben (deelname aan het studies programma). Een fix is een permanente oplossing die bedoeld is voor alle gebruikers

[Reactie gewijzigd door kodak op 4 mei 2019 13:23]

Waar jij de mist in gaat is de tweede alinea in het originele bericht. Het probleem met deze fix is dat het langzaam als een olievlek in de komende uren uitgerold wordt naar iedereen. Als je je browser met extensions nu nodig hebt, heb je daar niks aan. Voor die mensen en iedereen die ongeduldig is bieden ze een alternatief aan waardoor de fix sneller te verkrijgen is. Dat is de oplossing met die studies.
Fout. De langzamere methode waarmee vergeleken wordt is het reguliere update kanaal en Studies is het mechanisme waarmee deze hotfix binnen een kwestie van uren automatisch uit moet rollen. De automatische verversingstijd voor Studies ligt op 6 uur, maar deze kun je via about:config met de instelling app.normandy.run_interval_seconds tijdelijk inkorten.

Zie ook de officiële blog post van Mozilla met alle up-to-date informatie:
https://blog.mozilla.org/...rding-add-ons-in-firefox/
In ESR kan je signing uitschakelen door in about:config de sleutel xpinstall.signatures.required op false te zetten. Dan doen alle extensies het weer. In alle berichten die ik vandaag heb gelezen stond dat dit alleen maar kan in Nightly en dev builds, maar het kan dus ook in ESR. Niet vergeten om als het probleem is opgelost de sleutel weer naar true te zetten!
About:studies inschakelen helpt inderdaad, maar voor zij die dit standaard uit hebben staan en het hiervoor even inschakelen mogen wel lang geduld oefenen.

Standaard zal Firefox maar elke 6 uur zoeken naar nieuwe studies. Je kan dit wel versneller door in de about:config de instelling "app.normandy.run_interval_seconds" op 1 te zetten (standaard staat dit op 21600).
Een paar minuten wachten en je zal snel een verschil merken. Eens je addons er terug zijn kan je de app.normandy.run_interval_seconds op zijn normale waarde terugzetten.
De about:studies zal je nog niet mogen uitschakelen.
De about:studies zal je nog niet mogen uitschakelen.
Jawel hoor.
Er zijn 2 studies. De ene reset een update timestamp eenmalig. Dit was een fix van Mozilla om ze meer tijd te geven met een fix te komen. Het verificatie-mechanisme loopt normaal gesproken eens in de 24u en hiermee kon dat uitgesteld worden, in de hoop dat als de fix op tijd zou komen veel mensen niet tegen het probleem aan zouden lopen.

De andere studie is de daadwerkelijke fix en die overschrijft één van Mozilla's intermediate CAs in de Firefox certificate store.

Beide fixes zijn niet extensies die extra functionaliteit toevoegen, maar zijn one-way edits.
Als ze eenmaal gedraaid hebben en je Firefox installatie gepatched hebben, dan is het OK en kun je studies weer uit zetten.
Het maakt voor het functioneren niet eens uit of de studies in kwestie nog als Active geregistreerd staan, of al als Completed te boek staan en dus 'gedeactiveerd' zijn.
Workaround in Firefox zelf (Win10):

- Open de Add-ons Manager (CTRL+Shift+A) en selecteer dan de Tools for Add-ons (grijs tandwieltje bovenaan) en daarin "Debug add-ons".
- In het nieuw venster "Debuggen met Firefox Developer-hulpmiddelen", selecteer "Tijdelijke add-on laden...". ga naar de directory waar de add-ons zich bevinden (C:\Users\*USERID*\AppData\Roaming\Mozilla\Firefox\Profiles\*PROFILEID*.default\extensions) en selecteer de add-ons (*.xpi bestanden) die je wilt starten. De add-ons verschijnen dan in de lijst met tijdelijke extensies en worden opgestart.

Bij mij is het wel zo dat, als ik FF afsluit en weer opstart, alle add-on icoontjes weer verdwijnen, maar de add-ons wél nog steeds lijken te werken (de adblocker doet het in ieder geval nog steeds). Als je de iconen wilt bilijven zien, moet het hele proces opnieuw worden gedaan elke keer dat FF wordt gestart.

[Reactie gewijzigd door Micio Nero op 4 mei 2019 13:31]

...en juist dáárom was er zoveel weerstand van developpers toen Mozilla hiermee begon.

Ja, de hele technische infrastructuur van een PKI kan behoorlijk complex zijn. Maar dat heeft niets te maken met dit probleem. Het probleem (in Jip en Janneke taal) is dat praktisch alle add-ons gesigned moeten worden met één en hetzelfde certificate. Mozilla is alleen een beetje vergeten hoe belangrijk het is om dat "één en hetzelfde certificate" goed te beheren, als in: ook de intermediates in de gaten houden. Beheren als in: op tijd zorgen dat alles netjes vernieuwd wordt, zonder dat het add-on systeem als een kaartenhuis in elkaar valt.

Als je een lijstje van de belangrijkste certs maakt, kan je dit zelfs middels monitoring in de gaten laten houden. Het lijkt erop dat Mozilla dit niet eens meer kan als organisatie en dat ze zijn afgegleden naar een grote lompe organisatie waar grote lompe fouten worden gemaakt.

Het is een trieste dag voor Mozilla.
Daarop hebben ze nu dit verzonnen, je moet straks gewoon updaten als je je adblocker wilt blijven gebruiken vanwege deze licenties. De oude versies zullen hoogstwaarschijnlijk (natte vinger werk) deze updates niet krijgen en zo krijgen de devs hun zin dat iedere gebruiker de laatste versie downloadt.
Certificaten en licenties zijn twee compleet verschillende dingen.

Oude versies zouden sowieso het nieuwe certificaat niet gekregen hebben, dus als dat de reden is, dan hadden ze zichzelf deze flater gewoon kunnen besparen.

En goh, devs die het ten zeerste aanmoedigen dat je op de nieuwste versie zit, wie had dat ooit gedacht; net of ze er geen zin in hebben om ouwe meuk nog jarenlang te blijven patchen. Ook zitten ze er niet op te wachten dat mensen op Twitter klagen dat FF een pruts browser is omdat mensen een versie van tien jaar geleden draaien. Ik heb ook een hekel aan auto-updates (zeker als ze niet uit te zetten zijn en zeker als ze niet eens een melding geven), maar zelfs ik moet toegeven dat er wel degelijk goede redenen zijn waarom software dat wil doen. En sowieso, dat is hoe de wereld vandaag de dag nou eenmaal werkt; het is niet dat FF de enige is die dit doet, Chrome en Windows (om maar even twee bekende voorbeelden te noemen) doen precies hetzelfde.

Overigens zou je verhaal een stuk meer sympathie opwekken als je even uitlegt waarom je per se niet op de nieuwste versie wilt zitten...!?
Voor de mensen die niet zomaar code in hun systeem willen copy/pasten uit een comment:

Op de Mozilla site staat het bericht dat de fix as-we-speak verspreid wordt.
Je dient hiervoor allen in de privacy-settings van Firefox de vink bij "Firefox toestaan om onderzoeken te installeren en uit te voeren" aan te zetten. totdat je de fix hebt.

https://discourse.mozilla...-or-fail-to-install/39047
De meeste tweakers (systeembeheerders) zien herinstallatie van een besturingssysteem als een zwaktebod. Heel veel tijd besteden aan een reparatie is geen geweldig vooruitzicht, maar je leert er wel van en hopelijk is die ervaring bruikbaar om soortgelijke problemen in de toekomst gemakkelijk op te lossen.

Zeker met Linux is herinstallatie een 'no go'. Preventief onderhoud werkt wonderen bij praktisch alles, besturingssystemen inbegrepen.

Na een uurtje of 12 nadat de extensies in mijn Firefox browser waren uitgeschakeld, waren ze ook weer automatisch ingeschakeld. In de tussentijd met Opera aan de slag gegaan en dat beviel prima. Dezelfde extensies waren ook beschikbaar en snel genoeg toegevoegd. Even syncen en niks aan het handje.

Geduld en een alternatieve browser zijn goede hulpjes bij het oplossen van een heleboel problemen.

Als je met 'spoelen' een recente hard disk image terugzet op je computer, dat is sneller. Maar dan ga je weer een boel tijd verliezen met Windows updates, eventuele programma updates, uitzoeken welke data je uit uit backups moet plukken om weer aan de slag te kunnen. En jij durft te beweren dat spoelen altijd sneller is?

Hety woordje 'altijd' is zeer zeker niet waar. Misschien voor een simpel werkstation in een bedrijf, maar voor een thuisgebruiker? Dat waag ik toch echt te betwijfelen.

Van een "handig neefje" hoef je echt niet te verwachten dat deze een goed/bruikbaar/geautomatiseerd backup systeem configureert op de computer van tante Annie. Of op zijn eigen computer. Alles in de cloud bewaren? Hopelijk heb je een goede verbinding, anders ben je nog steeds behoorlijk wat tijd kwijt om zaken weer terug te halen naar je eigen computer.

Of ben jij er zoeentje die alles alleen maar in de cloud bewaart? Daar hangen een heleboel andere nadelen aan die voor jou persoonlijk misschien niet al te zwaar wegen, maar jij bent niet iedereen en hoe jij een computer gebruikt is niet hetzelfde als de werkwijze van een ander persoon.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Internet

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True