Firefox: disabilitare il controllo firme degli addon (se necessario)

Qualcuno lo avrà già notato perché la novità riguarda Firefox 40 (già disponibile da qualche giorno ormai) ma soprattutto il 41 (attualmente in Beta) ed il 42 (Developer Edition) che arriveranno sui PC di tutti gli utilizzatori nelle prossime settimane. Firefox non permette più (dalla versione 41) l’installazione di estensioni non firmate.

Perché? Perché di mezzo c’è la sicurezza, la vostra, quella degli utilizzatori che troppo spesso vengono ingannati da software di terze parti che non si fanno poi molti problemi ad installare estensioni che caricano pubblicità durante la navigazione (le segnalazioni al mio indirizzo di posta e tramite il sistema di supporto di X Files sono aumentate in maniera vertiginosa). Sia chiaro: non è la necessità di fermare la fantasia e la capacità di una comunità che di estensioni ne scrive decine al giorno, piuttosto la volontà di convincere questi fantastici sviluppatori a pubblicarla su AMO affinché la loro creazione venga controllata e approvata da persone che possono dar loro consigli o chiedere di ritoccare ciò che può mettere in difficoltà il browser (o lasciare qualche porta aperta a ospiti dall’esterno, mai simpatici).

In realtà qualcuno se n’è accorto già diverso tempo fa, proprio perché gli sviluppatori dei componenti aggiuntivi hanno iniziato a correre per arrivare preparati al giro di quella boa sempre più vicina, ed è per questo che probabilmente le vostre estensioni si sono improvvisamente aggiornate in massa. Tutto questo costituisce un ulteriore layer di sicurezza che è importante rispettare affinché si possano dormire sonni più tranquilli e avere così una navigazione maggiormente pulita, d’altronde di pubblicità (lecita) il web ne è già saturo, un po’ come la sopportazione del suo pubblico.

Trovate maggiori informazioni su quanto messo in atto nell’articolo datato 10 febbraio 2015, sul blog di Mozilla Add-ons: blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience (se volete saperne di più e in italiano potete sempre dare un’occhiata all’apposito articolo localizzato da Mozilla Italia e disponibile su support.mozilla.org/it/kb/add-on-signing-in-firefox).

Disattivare il controllo

Sono certo che se state leggendo questo articolo siete altrettanto consapevoli del fatto che disattivare questo controllo comporta una possibile falla in un sistema pensato per essere più sicuro, avrete i vostri buoni motivi. Io ad esempio ne ho proprio per X Files. Sviluppando la lista sulla versione Developer di Firefox più aggiornata, mi tocca stare al passo con le versioni “Nightly” dell’estensione Adblock Plus, non presenti su AMO e disponibili tramite il sito web dello sviluppatore. Se il controllo è attivo, Firefox rifiuta di terminare l’installazione del file XPI perché non firmato. Come se non bastasse, qualsiasi estensione già installata nel sistema che non possiede una firma validata, verrà disabilitata al successivo avvio del browser:

Come fargli abbassare la guardia per poter procedere? Al solito da about:config. L’opzione da andare a modificare è prevedibilmente di tipo booleana e risponde alla ricerca di:

xpinstall.signatures.required

che dovrà passare necessariamente da true a false, per tutto il tempo necessario ai vostri test. Vi ricordo infatti che riportando la voce a true, Firefox andrà a disabilitare automaticamente le estensioni non firmate già dal successivo riavvio del browser, non necessario invece dopo aver ritoccato la voce in about:config perché immediatamente applicato.

Occhi sempre ben aperti e fate attenzione a ciò che installate. Da questo punto in poi la colpa non potrà essere certo affibbiata ancora una volta a Mozilla ;-)