Firefox: disabilitare il controllo firme degli addon (se necessario)

Gioxx  —  07/09/2015 — 4 Comments
Aggiornamento 14/9/15
Si stanno sviluppando diverse nuove discussioni sull’argomento che diventa così sempre più “caldo”. Tra conferme e passi indietro pare che in Firefox l’opzione di cui vi ho parlato all’interno dell’articolo verrà potenzialmente ignorata, “sovrascrivendo” ciò che l’utente richiede al proprio browser di fare. Vi invito a leggere la discussione nel forum di Mozilla Italia all’indirizzo forum.mozillaitalia.org/index.php?topic=64911.0 e ad intervenire se lo ritenete opportuno. Seguiranno certamente ulteriori sviluppi sulla questione (e quindi anche dell’articolo qui di seguito pubblicato).
Aggiornamento 11/9/15
Come segnalato da Simone nei commenti, pare che questa novità andrà ad impattare Firefox 43 e non più la versione 41. Vi rimando direttamente al commento contenente anche i riferimenti di Bugzilla: gioxx.org/2015/09/07/firefox-estensioni-signed/#comment-2248130207

Qualcuno lo avrà già notato perché la novità riguarda Firefox 40 (già disponibile da qualche giorno ormai) ma soprattutto il 41 (attualmente in Beta) ed il 42 (Developer Edition) che arriveranno sui PC di tutti gli utilizzatori nelle prossime settimane. Firefox non permette più (dalla versione 41) l’installazione di estensioni non firmate.

Firefox: disabilitare il controllo firme degli addon (se necessario) 3

Perché? Perché di mezzo c’è la sicurezza, la vostra, quella degli utilizzatori che troppo spesso vengono ingannati da software di terze parti che non si fanno poi molti problemi ad installare estensioni che caricano pubblicità durante la navigazione (le segnalazioni al mio indirizzo di posta e tramite il sistema di supporto di X Files sono aumentate in maniera vertiginosa). Sia chiaro: non è la necessità di fermare la fantasia e la capacità di una comunità che di estensioni ne scrive decine al giorno, piuttosto la volontà di convincere questi fantastici sviluppatori a pubblicarla su AMO affinché la loro creazione venga controllata e approvata da persone che possono dar loro consigli o chiedere di ritoccare ciò che può mettere in difficoltà il browser (o lasciare qualche porta aperta a ospiti dall’esterno, mai simpatici).

In realtà qualcuno se n’è accorto già diverso tempo fa, proprio perché gli sviluppatori dei componenti aggiuntivi hanno iniziato a correre per arrivare preparati al giro di quella boa sempre più vicina, ed è per questo che probabilmente le vostre estensioni si sono improvvisamente aggiornate in massa. Tutto questo costituisce un ulteriore layer di sicurezza che è importante rispettare affinché si possano dormire sonni più tranquilli e avere così una navigazione maggiormente pulita, d’altronde di pubblicità (lecita) il web ne è già saturo, un po’ come la sopportazione del suo pubblico.

Trovate maggiori informazioni su quanto messo in atto nell’articolo datato 10 febbraio 2015, sul blog di Mozilla Add-ons: blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience (se volete saperne di più e in italiano potete sempre dare un’occhiata all’apposito articolo localizzato da Mozilla Italia e disponibile su support.mozilla.org/it/kb/add-on-signing-in-firefox).

Disattivare il controllo

Sono certo che se state leggendo questo articolo siete altrettanto consapevoli del fatto che disattivare questo controllo comporta una possibile falla in un sistema pensato per essere più sicuro, avrete i vostri buoni motivi. Io ad esempio ne ho proprio per X Files. Sviluppando la lista sulla versione Developer di Firefox più aggiornata, mi tocca stare al passo con le versioni “Nightly” dell’estensione Adblock Plus, non presenti su AMO e disponibili tramite il sito web dello sviluppatore. Se il controllo è attivo, Firefox rifiuta di terminare l’installazione del file XPI perché non firmato. Come se non bastasse, qualsiasi estensione già installata nel sistema che non possiede una firma validata, verrà disabilitata al successivo avvio del browser:

Firefox: disabilitare il controllo firme degli addon (se necessario) 2

Come fargli abbassare la guardia per poter procedere? Al solito da about:config. L’opzione da andare a modificare è prevedibilmente di tipo booleana e risponde alla ricerca di:

xpinstall.signatures.required

che dovrà passare necessariamente da true a false, per tutto il tempo necessario ai vostri test. Vi ricordo infatti che riportando la voce a true, Firefox andrà a disabilitare automaticamente le estensioni non firmate già dal successivo riavvio del browser, non necessario invece dopo aver ritoccato la voce in about:config perché immediatamente applicato.

Firefox: disabilitare il controllo firme degli addon (se necessario) 1

Occhi sempre ben aperti e fate attenzione a ciò che installate. Da questo punto in poi la colpa non potrà essere certo affibbiata ancora una volta a Mozilla ;-)

×

Attenzione

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Condividi l'articolo con i tuoi contatti: