随着最近的Firefox armagadd on Mozilla将跟踪基础设施的时间炸弹

在上周末大规模禁用Mozilla Firefox的附加生态系统之后，Mozilla一直致力于改进其资产跟踪并开发一种机制，可以在需要时快速推送用户更新。由于中间证书于5月4日凌晨1点到期，用户发现他们的浏览器插件已关闭且无法重新启用。由于时区和地球的旋转，太平洋西侧的用户是第一次受到打击。在一篇博客文章中，Firefox CTO Eric Rescorla详细介绍了一些初步想法并宣布将在下周发布正式的验尸报告。“首先，我们应该有一个更好的方法来跟踪Firefox中的所有内容的状态，这是一个潜在的定时炸弹，并确保我们不会发现自己处于意外发生的情况。我们仍在努力这里有详细介绍，但至少我们需要清点这种性质的一切，“Rescorla写

“其次，我们需要一种能够快速将更新推送给用户的机制，特别是当其他一切都停止时。

“最后，我们将更加关注我们的附加安全架构，以确保它以最小的破损风险强制执行正确的安全属性。”

Rescorla表示，浏览器制造商考虑使用Firefox点版本来更改用于验证过期证书的日期。它还考虑生成一个有效的替换证书，因为它确定了如何将其传递给现有的Firefox用户。后者是最终的方式armagadd-on在Firefox 66.0.4发布之前得到了缓解。

Firefox诺曼底研究机制被选中用于向用户提供包含新证书的新系统附件 - 该机制之前曾因用户推送不需要的代码而犯规。

为了回应对Mozilla推出修复程序需要多长时间的批评，Rescorla表示，从一开始就做出的回应“相当不错”。

“首先，需要一段时间才能发布新的中间证书......根证书位于离线存储的硬件安全模块中。这是一种很好的安全措施，因为你很少使用root，所以你希望它是安全，但如果你想在紧急情况下发行新证书，这显然有点不方便，“他写道。

“其次，开发系统附加组件需要一些时间。它在概念上非常简单，但即使是简单的程序也需要小心，我们确实希望确保我们不会让事情变得更糟。”

Rescorla表示，由于Firefox只检查诺曼底每6小时更新一次，因此需要一段时间才能将更新传播给用户，而对于那些没有选择进入诺曼底的人来说，问题将通过稍后发布的点发布来解决。

由于选择退出诺曼底的用户需要启用恢复附加功能的机制，Mozilla表示将删除通过研究为其整个用户群收集的一周的遥测数据。

Firefox CTO也承认用户在某些情况下丢失了数据，这是需要关注的问题。他还补充说，如果用户选择退出诺曼底，则需要创建一种新方法，以便用户迅速获得更新。

“更新频道应该比我们现有的更具响应性。即使在星期一，我们仍然有一些用户没有选择修补程序或点发布，这显然不太理想，”他写道。

总体而言，Rescorla表示，Firefox团队在首次报告的不到12小时内完成了修复工作的“惊人工作”。

“作为参加会议的人，我可以说人们在艰难的环境中工作非常努力，浪费的时间非常少。”