Mozilla将跟踪基础设施的时间炸弹

2019-05-10 16:25:51 来源:

在上周末大规模禁用Mozilla Firefox的附加生态系统之后,Mozilla一直致力于改进其资产跟踪并开发一种机制,可以在需要时快速推送用户更新。由于中间证书于5月4日凌晨1点到期,用户发现他们的浏览器插件已关闭且无法重新启用。由于时区和地球的旋转,太平洋西侧的用户是第一次受到打击。

在一篇博客文章中,Firefox CTO Eric Rescorla详细介绍了一些初步想法并宣布将在下周发布正式的验尸报告。

“首先,我们应该有一个更好的方法来跟踪Firefox中的所有内容的状态,这是一个潜在的定时炸弹,并确保我们不会发现自己处于意外发生的情况。我们仍在努力这里有详细介绍,但至少我们需要清点这种性质的一切,“Rescorla写道。

“其次,我们需要一种能够快速将更新推送给用户的机制,特别是当其他一切都停止时。

“最后,我们将更加关注我们的附加安全架构,以确保它以最小的破损风险强制执行正确的安全属性。”

Rescorla表示,浏览器制造商考虑使用Firefox点版本来更改用于验证过期证书的日期。它还考虑生成一个有效的替换证书,因为它确定了如何将其传递给现有的Firefox用户。后者是最终的方式armagadd-on在Firefox 66.0.4发布之前得到了缓解。

Firefox诺曼底研究机制被选中用于向用户提供包含新证书的新系统附件 - 该机制之前曾因用户推送不需要的代码而犯规。

为了回应对Mozilla推出修复程序需要多长时间的批评,Rescorla表示,从一开始就做出的回应“相当不错”。

“首先,需要一段时间才能发布新的中间证书......根证书位于离线存储的硬件安全模块中。这是一种很好的安全措施,因为你很少使用root,所以你希望它是安全,但如果你想在紧急情况下发行新证书,这显然有点不方便,“他写道。

“其次,开发系统附加组件需要一些时间。它在概念上非常简单,但即使是简单的程序也需要小心,我们确实希望确保我们不会让事情变得更糟。”

Rescorla表示,由于Firefox只检查诺曼底每6小时更新一次,因此需要一段时间才能将更新传播给用户,而对于那些没有选择进入诺曼底的人来说,问题将通过稍后发布的点发布来解决。

由于选择退出诺曼底的用户需要启用恢复附加功能的机制,Mozilla表示将删除通过研究为其整个用户群收集的一周的遥测数据。

Firefox CTO也承认用户在某些情况下丢失了数据,这是需要关注的问题。他还补充说,如果用户选择退出诺曼底,则需要创建一种新方法,以便用户迅速获得更新。

“更新频道应该比我们现有的更具响应性。即使在星期一,我们仍然有一些用户没有选择修补程序或点发布,这显然不太理想,”他写道。

总体而言,Rescorla表示,Firefox团队在首次报告的不到12小时内完成了修复工作的“惊人工作”。

“作为参加会议的人,我可以说人们在艰难的环境中工作非常努力,浪费的时间非常少。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
Top