image

Firefox-ontwikkelaars wisten dat certificaat voor add-ons verliep

maandag 15 juli 2019, 11:06 door Redactie, 6 reacties

Afgelopen mei werden door een verlopen certificaat bij honderden miljoenen Firefox-gebruikers de add-ons uitgeschakeld, maar nu blijkt dat de browserontwikkelaars wisten dat het certificaat zou verlopen. Het certificaat dat op 4 mei verliep werd gebruikt voor het signeren van extensies.

Door het verlopen van het certificaat beschouwde Firefox alle extensies als ongeldig. Al geïnstalleerde extensies werden daarop uitgeschakeld en het was niet meer mogelijk om nieuwe extensies te installeren. Veel gebruikers vroegen zich af hoe het kon dat de ontwikkelaars het certificaat hadden laten verlopen. Nu meldt Eric Rescorla, CTO van Firefox, dat het verantwoordelijke team wist dat het certificaat zou verlopen. Het team ging er ten onrechte vanuit dat Firefox de verloopdatum zou negeren.

Een deel van dit misverstand werd volgens Rescorla veroorzaakt door een eerder incident waarbij de controle op certificaten was uitgeschakeld. Dit leidde tot verwarring over de controle die Firefox toepaste. Daarnaast was er binnen Mozilla geen plan om Firefox op verlopen certificaten te testen, waardoor het probleem niet werd gedetecteerd. "Dit was een fundamentele misser in ons testplan", aldus Rescorla.

De Firefox CTO stelt dat het incident heeft laten zien dat Mozilla betere communicatie en documentatie over dit deel van het systeem nodig heeft en deze informatie met engineering en de testteams moet worden gedeeld, zodat er geen dingen over het hoofd worden gezien. Sindsdien heeft Mozilla verschillende Firefox-updates uitgebracht om herhaling in de toekomst te voorkomen. "Natuurlijk zijn softwaredefecten niet geheel te elimineren, maar het technisch onderzoek laat zien dat in sommige gevallen een hoge urgentie gecombineerd met een gebrek aan beschikbare middelen voor kwaliteitscontrole heeft geleid tot tests die minder grondig waren dan we zouden willen", besluit Rescorla.

Reacties (6)
15-07-2019, 12:12 door Anoniem
Tja dan hadden ze elkaar moeten tippen,dat er een nieuw certificaat aangevraagd hed moeten worden. Hebben ze niet gedaan waarover er een workout uitgevonden had moeten worden. Mozilla heeft redelijk snel er na wel een update met de brouwer uitgebracht. Maar toch hebben mensen redelijk lang met het dillema gezeten waarom alle plugins niet meer werkte of addons. Natuurlijk waar gewerkt wordt vallen spaanders er gaat altijd wel eens keer iets fout. Maar dit soort fouten is dan van geleerd en zal denk ik niet nog eens gebeuren.
15-07-2019, 13:54 door [Account Verwijderd]
Door Anoniem om 12:12 uur:"... Mozilla heeft redelijk snel er na wel een update met de brouwer uitgebracht..."

PROOST! We vatten er nog eentje op de goede afloop!

(Ik vind die verschrijving wel leuk)
15-07-2019, 15:06 door Anoniem
De NSA is overal, en heeft een pact met alle landen die Amerikaanse diensten tegemoetkomen.
Het mag misschien wild klinken, maar alle anonieme cq privacy netwerken die gebaseerd zijn op Firefox werden ondermijnd door de spontane uitval van gesigneerde extensies zoals NoScipt.
15-07-2019, 22:11 door Anoniem
Door Anoniem: De NSA is overal...
Het mag misschien wild klinken...
Ik zal je nog iets wilders gaan vertellen: ze zitten op dit moment ook in je huis! Alleen een hoedje van aluminiumfolie kan je nog redden!
16-07-2019, 13:29 door Anoniem
@ anoniem van 22:11

Ben jij de die disinfo agent van hoax wiki soms?

Snowden onthullingen, alle data breaches, 15 jaar oude zero-days, waarop men zit.

Doorlopen mensen, allemaal vergeten.
Niets te zien hier anders bent u een alu-hoedjes-figuur,

Reeds gezakt voor de whale.io test, teveel Modderkolk gelezen?

NSA zijn lieverdjes, vooral blijven geloven in de goedheid van uw elite.
We doen alles voor uw bestwil,

Doei,

J.O.
17-07-2019, 16:05 door Anoniem
Wat een BS verhaal. "Ja, ach, we hebben een certificaat waarmee dingen worden gecontroleerd, en dat verloopt binnenkort. Maar we laten dat maar gewoon verlopen, want wat maakt het ook uit; een certificaat is vast niet belangrijk."
Fsck zeg. Ik bedoel; hoeveel werk is het nou werkelijk om een certificaat te vervangen? Toen het mis ging kon het blijkbaar heel snel. (Of is toen de certificaat controle maar weer uit gezet?)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.