Mozilla 今后将要求所有附加组件都要有签名才可以正常安装，已出现了

Mozilla 在其官方博客发表文章表示考虑到附加组件的安全性和性能，将在今年年内推动附加组件签名化，所有附加组件（其实就是扩展）必须有数字签名（Signed）才可以正常安装，否则 Firefox 等产品将拒绝安装这些未签名的扩展。

背景是凡是提交到 Mozilla 的官方附加组件中心（简称AMO）的附加组件都会受到官方严格审核以确保安全性和性能，但是 Mozilla 也允许浏览器安装非 AMO 网站提供的附加组件，但这些附加组件良莠不齐，有的是恶意程序，或者是在用户不知情情况下侵犯用户隐私，比如修改浏览器主页、搜索引擎、发送用户隐私信息等等。虽然 Mozilla 在安装非 AMO 网站上附加组件时候会要求用户确认是否允许安装，但基本上用户还是会允许，对阻挡这些附加组件传播收效不大。

其实 Chrome 已先考虑到这个问题，所以强制用户只能安装 Chrome 网上商店的扩展，其他网站全部禁止，但 Mozilla 是开放的，所以不会一刀切，还是允许用户安装非 AMO 网站上的附加组件，前提是这些附加组件必须得到 Mozilla 认可的数字签名。

Mozilla 打算是这么做：

• 今后凡是提交到 AMO 并且通过的附加组件都会自动加上数字签名，并且目前所有 AMO 上的附加组件的最新版本也都会自动加入签名。
• AMO 以外第三方网站提供的附加组件必须提交到 AMO 审核通过后加上签名。所以作者们需要注册 AMO 账号，但不用公开他们所有的扩展，只需要提交到 AMO 进入一个自动化的审核机制，通过了就会加上签名。如果自动审核不通过，他们还可以申请进行人工审核。
• 对于一些内部开发不对外或者只会在内网中使用的附加组件，Mozilla 今后会提供其他的加入签名的办法。
• 在两个开发周期也就是 12 周之内，所有未签名的附加组件依然可以安装，只不过会有一个警告而已。
• 过了 12 周，正式版或 Beta 版都不允许安装未签名的扩展，并且不提供任何选项来关闭数字签名验证这个功能。
• Nightly 或 FDE 开发版本则不受此限制，可以继续安装未签名扩展，非官方的衍生版也同样不受限制。

这个决定的影响：

• 显而易见，AMO上开发者基本不受影响，除了可能需要针对 Nightly 或衍生版进行测试。
• 非 AMO 开发者就需要主动和 AMO 联系上传扩展给 AMO 审核以求加入签名，第一次自动审核不通过还可以申请人工审核，仍不通过就无缘安装到正式版或 Beta 版本浏览器。
• 对用户来说，保证了扩展的安全性和性能，这是好事，并且一旦完全审核通过加入签名，今后从第三方网站安装扩展，也不用出现浏览器是否允许的提示，安装过程更顺滑。

这个举措计划在第二季度，最快 Firefox 39 正式版中就会实现。





http://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/


------------------------------------
根据 ghack 的文章，现在在 Firefox 正式版的附加组件管理器里面已经可以看到有些扩展已经添加了签名，比如 noscript：



请见图中 NoScript 2.6.9.22.1-signed，其他版本包括 Nightly 暂时还没出现。

http://www.ghacks.net/2015/04/26/mozilla-firefox-add-on-signing-has-started/

又在学习谷歌，又在开始作死

感觉其实是好事，附加组件签名功能已经有了那么多年了，只见过Adblock Plus等少数一两个附加组件有加上签名。扩展的权限太大了，做成病毒完全无压力，而且还隐蔽。
但是这对于第三方修改版扩展可能存在一种压力，可能需要集中化放到AMO了，或者提供其他的破解方法、一键破解之类的。可以预见会出现不少普通玩家提问的。但对于普通用户，应该影响不大，有些用户甚至根本不用扩展的。

审核做好影响就不大，没弄好又是鸡飞蛋打。

到时候再看看影响有多大 编译版revert这个也非常easy吧

yfdyh000：感觉其实是好事，附加组件签名功能已经有了那么多年了，只见过Adblock Plus等少数一两个附加组件有加上签名。扩展的权限太大了，做成病毒完全无压力，而且还隐蔽。
但是这对于第三方修改版扩展可能存在一种压力，可能需要集中化放到AMO了，或...回到原帖

估计mozilla也不会搞得太狠，以前也有一些数字签名扩展被第三方改了就不能安装，最后其实删掉扩展里面meta文件夹就可以了。

fang5566：估计mozilla也不会搞得太狠，以前也有一些数字签名扩展被第三方改了就不能安装，最后其实删掉扩展里面meta文件夹就可以了。回到原帖

阻止签名被破坏的扩展与放行未签名扩展这两者不太一样。
如果真写死在代码中且不提供配置项，那就只能靠第三方版本了，但应该不会。


https://bugzilla.mozilla.org/show_bug.cgi?id=1047239 跟踪bug
https://wiki.mozilla.org/AMO/SigningService 计划
https://etherpad.mozilla.org/jUwP07PtYD 讨论过程
三类用户，AMO托管，AMO上传每个版本但不托管上架，自己签发。


其实之前的策略的确很有风险，安装时的签名很不显眼，没有权限控制，允许第三方自动更新（HTTPS）。比如说安装了 https://www.eff.org/https-everywhere，eff就可以随时控制、自动更新任何代码，而不经过任何提示。虽然Mozilla还有blocklist，但也只是事后行动。

作死，纯的

如果签名了，用户自行删掉多余的语言文件，是不是就不让安装了？

yfdyh000：感觉其实是好事，附加组件签名功能已经有了那么多年了，只见过Adblock Plus等少数一两个附加组件有加上签名。扩展的权限太大了，做成病毒完全无压力，而且还隐蔽。
但是这对于第三方修改版扩展可能存在一种压力，可能需要集中化放到AMO了，或...回到原帖

首先，给扩展签名很麻烦
其次，证书需要额外花钱
https://developer.mozilla.org/en-US/docs/Signing_a_XPI
The cheapest universally supported (Mozilla, Java, Microsoft) certificate seems to be the Comodo Instant-SSL offering. You can get a free certificate for open-source developers from Unizeto Certum, in 2010 it is a Certum Level III CA.

alanfly：审核做好影响就不大，没弄好又是鸡飞蛋打。回到原帖

blog原文回复中已经谈到了
通过某个自动测试的可以自动签名
否则需要人工审核
在现有的2条扩展审核排队外再新增一个排队
mozilla有计划扩大审核者队伍

pcxfirefox：到时候再看看影响有多大 编译版revert这个也非常easy吧回到原帖

应该不难

Installation of unsigned extensions will still be possible on Nightly and Developer Edition, as well as special, unbranded builds of Release and Beta that will be available mainly for developers testing their extensions.

不过这些第三方修改版不能叫firefox吧

我想到时候应该会有类似“火狐去除恶心的扩展安装限制”的补丁

aaaa007cn：首先，给扩展签名很麻烦
其次，证书需要额外花钱
https://developer.mozilla.org/en-US/docs/Signing_a_XPI
The cheapest universally supported (Mozil...回到原帖

Mozilla计划为AMO上的所有扩展提供证书（估计是专用的，内置在浏览器中），并且在AMO上审核通过时自动签名（包括机器的初步审核，限制更宽松）。包括现有的扩展也会被自动签名（有些前提，比如不能用第三方的更新地址）。

yfdyh000：Mozilla计划为AMO上的所有扩展提供证书（估计是专用的，内置在浏览器中），并且在AMO上审核通过时自动签名（包括机器的初步审核，限制更宽松）。包括现有的扩展也会被自动签名（有些前提，比如不能用第三方的更新地址）。回到原帖

这就是预计12周后进行的扩展强制签名计划啊

扩展开发者不能直接用release、beta来做开发
原因很单纯（愚蠢）
因为这两个的官方版本拒绝安装未签名扩展
但是开发扩展时
不可能每做一部分修改
就上传签名一次
大家感受一下