image

Mozilla maakt excuses voor uitgeschakelde Firefox-extensies

vrijdag 10 mei 2019, 10:31 door Redactie, 13 reacties

Mozilla heeft excuses gemaakt voor de fout waardoor afgelopen weekend bij honderden miljoenen gebruikers de extensies werden uitgeschakeld. De browserontwikkelaar zal tevens alle telemetrie- en Studiesgegevens van gebruikers verwijderen die het tijdens het incident verzamelde.

Op 4 mei verliep een certificaat dat Mozilla gebruikt voor het signeren van extensies. Mozilla stelt dat het signeren van extensies een belangrijke maatregel is om gebruikers tegen kwaadaardige extensies te beschermen. Door het verlopen van het certificaat beschouwde Firefox alle extensies als ongeldig. Al geïnstalleerde extensies werden daarop uitgeschakeld en het was niet meer mogelijk om nieuwe extensies te installeren.

Telemetrie

Om het probleem snel te verhelpen rolde Mozilla een tijdelijke oplossing uit via het Studies-systeem. Via Studies worden normaliter allerlei "features en ideeën" getest. Gebruikers moeten zich hiervoor apart aanmelden. Mozilla besloot om via het Studies-systeem een fix voor de uitgeschakelde extensies uit te rollen. Hiervoor moesten gebruikers ook het verzamelen van telemetriegegevens toestaan. Een optie die sommige gebruikers eerder opzettelijk hadden uitgeschakeld. Om de "oorspronkelijke intentie" van deze gebruikers te respecteren heeft Mozilla besloten om alle verzamelde telemetrie- en Studiesgegevens van 4 en 5 mei te verwijderen.

Beveiligde locatie

In een blogpost legt Mozilla uit hoe het incident zich kon voordoen en waarom de oplossing zolang op zich liet wachten. Om het probleem te verhelpen moest er een nieuw certificaat worden uitgegeven, wat via een rootcertificaat wordt gedaan. Dit rootcertificaat bevindt zich in een hardware security module (HSM) die offline in een beveiligde locatie is opgeslagen. Eén van de Mozilla-engineers moest dan ook naar deze locatie rijden.

Vervolgens waren er verschillende valse starts waar Mozilla niet het juiste certificaat uitgaf. "En elke poging kostte een uur of twee aan testen voordat we precies wisten wat we moesten doen", zegt Mozilla-cto Eric Rescorla. Daarnaast moest er een "system add-on" worden ontwikkeld waarmee het nieuwe certificaat bij gebruikers kon worden geïnstalleerd. Om de situatie niet te verergeren moest ook deze stap worden getest.

Als laatste nam de uitrol enige tijd in beslag. Firefox controleert automatisch elke zes uur op updates. Daardoor duurde het meerdere uren voordat alle Firefoxgebruikers de oplossing ontvingen. Rescorla stelt dat de oplossing binnen 12 uur na de eerste melding was ontwikkeld. Toch had het probleem in de eerste plaats zich niet mogen voordoen.

Toekomst

De Firefox-cto vindt dan ook dat Mozilla beter in staat moet zijn om de status te monitoren van alles dat een potentiële tijdbom binnen Firefox is. Aan de details van dit plan wordt nog gewerkt. "Maar op z'n minst moeten we alles van deze aard inventariseren", merkt Rescorla op. Tevens moet er een mechanisme komen om snel updates onder gebruikers uit te kunnen rollen als alles down is. Als laatste gaat Mozilla kijken naar de beveiligingsarchitectuur van add-ons, om ervoor te zorgen dat het juiste beveiligingsniveau wordt gehandhaafd met de kleinste kans op storingen.

Reacties (13)
10-05-2019, 10:59 door [Account Verwijderd] - Bijgewerkt: 10-05-2019, 11:30
Jaja. Het gevoel van: Mijn PC is niet meer van mij, werd er die dag weer eens flink ingeweven. Niets wordt gevraagd. Alles wordt gewoon gedaan. En dat alleen maar omdat een aantal lui niet weten hoe ze met een computer moeten omgaan.

Niets is optioneel en zo wel, is het opt-out. Alles gaat achter je rug om. Micky$oft weet daar ook alles van. Daarom heb ik sinds februari geen updates met W10 gehad. Weet niet of dit de bedoeling is, maar ik laat mijn systeem niet meer verneuken door een stelletje prutsers aan de andere kant van de planeet. Nou heb ik wel ergens gelezen dat ze ons meer controle willen geven wat betreft de updates, maar dat moet ik eerst nog zien.

Voor mij als power user is het er allemaal niet veiliger op geworden. Laat staat beter! Want ook bij mijn browser heb ik zware maatregelen genomen om het update proces zoveel mogelijk te kunnen controleren.

Ja ik weet dat het allemaal niets met deze situatie te maken heeft. Certificaat gezeik of niet. Ik ben het helemaal zat om als proefkonijn gebruikt te worden. Ik wil een ROCK-STABLE systeem. En dat is W10 met al z'n troep die erop draait al lang niet meer. Zover het dat ooit geweest is dan.

Kwaliteit gaat overal achteruit. Maar met software kun je dat niet gebruiken. Zoiets moet werken. Zeker in een productie-omgeving.
10-05-2019, 11:34 door Anoniem
Door Rexodus: Jaja. Het gevoel van: Mijn PC is niet meer van mij, werd er die dag weer eens flink ingeweven. Niets wordt gevraagd. Alles wordt gewoon gedaan. En dat alleen maar omdat een aantal lui niet weten hoe ze met een computer moeten omgaan.

Niets is optioneel. Alles gaat achter je rug om. Micky$oft weet daar ook alles van. Daarom heb ik sinds februari geen updates met W10 gehad. Weet niet of dit de bedoeling is, maar ik laat mijn systeem niet meer verneuken door een stelletje prutsers aan de andere kant van de planeet. Nou heb ik wel ergens gelezen dat ze ons meer controle willen geven wat betreft de updates, maar dat moet ik eerst nog zien.

Voor mij als power user is het er allemaal niet veiliger op geworden. Laat staat beter! Want ook bij mijn browser heb ik zware maatregelen genomen om het update proces zoveel mogelijk te kunnen controleren.

Ja ik weet dat het allemaal niets met deze situatie te maken heeft. Certificaat gezeik of niet. Ik ben het helemaal zat om als proefkonijn gebruikt te worden. Ik wil een ROCK-STABLE systeem. En dat is W10 met al z'n troep die erop draait al lang niet meer. Zover het dat ooit geweest is dan.

Kwaliteit gaat overal achteruit. Maar met software kun je dat niet gebruiken. Zoiets moet werken. Zeker in een productie-omgeving.

Hemel, wat een agressie! Als je zogenaamd zo goede IT specialist bent, die het allemaal beter weet, waarom zet je er niet een ander, in jouw ogen, beter OS op je pc'tje?
10-05-2019, 12:09 door Anoniem
Door Rexodus: Jaja. Het gevoel van: Mijn PC is niet meer van mij, werd er die dag weer eens flink ingeweven. Niets wordt gevraagd. Alles wordt gewoon gedaan. En dat alleen maar omdat een aantal lui niet weten hoe ze met een computer moeten omgaan.

Niets is optioneel en zo wel, is het opt-out. Alles gaat achter je rug om. Micky$oft weet daar ook alles van. Daarom heb ik sinds februari geen updates met W10 gehad. Weet niet of dit de bedoeling is, maar ik laat mijn systeem niet meer verneuken door een stelletje prutsers aan de andere kant van de planeet. Nou heb ik wel ergens gelezen dat ze ons meer controle willen geven wat betreft de updates, maar dat moet ik eerst nog zien.

Voor mij als power user is het er allemaal niet veiliger op geworden. Laat staat beter! Want ook bij mijn browser heb ik zware maatregelen genomen om het update proces zoveel mogelijk te kunnen controleren.

Ja ik weet dat het allemaal niets met deze situatie te maken heeft. Certificaat gezeik of niet. Ik ben het helemaal zat om als proefkonijn gebruikt te worden. Ik wil een ROCK-STABLE systeem. En dat is W10 met al z'n troep die erop draait al lang niet meer. Zover het dat ooit geweest is dan.

Kwaliteit gaat overal achteruit. Maar met software kun je dat niet gebruiken. Zoiets moet werken. Zeker in een productie-omgeving.
Gelukkig hebben de meeste hier allemaal geen last van. Die kunnen en blijven gewoon werken met hun software zonder enige probleem.
10-05-2019, 12:13 door Anoniem
Leuk dat Mozilla via signeren iets van ontwikkelaars verwacht, maar daar hoort dan ook een verplichting bij aan hun kant. Dat die procedures blijkbaar totaal niet op orde zijn (geen agendering, geen business continuity, geen disaster recovery enz) toont dus aan dat Mozilla per direct moet stoppen met verantwoordelijkheid naar zich toe te trekken, aangezien ze niet in staat zijn deze te borgen.

Sowieso ben ik helemaal klaar met Mozilla (de organisatie). Ze zijn constant bezig met onzin die niks met een browser te maken heeft terwijl ze Thunderbird (e-mail client) hebben afgestoten. Firefox heeft behoefte aan een 'staatsgreep' zoals deze ook is gepleegd door LibreOffice op OpenOffice. Gewoon een bugtracker en een goede browser en mail client maken. Weg-forken en nooit meer omkijken naar Mozilla, dan zijn we eindelijk verlost van al die wollige onkunde die daar rondloopt.
10-05-2019, 12:27 door Anoniem
Ik snap al die agressie niet zo. Mijn Windows 10 systeem is altijd netjes up-to-date en heeft nog nooit problemen gehad waardoor iets niet meer werkt of ik een update moet terugdraaien.

Ook zijn blauwe schermen bij mij iets wat in het verleden ligt. Vaak worden problemen ook opgeblazen terwijl Microsoft zelf aangeeft dat problemen bij een zeer klein percentage gebruikers speelt. Maar goed de Linux evangelisten samen met social media weten problemen altijd op te blazen tot categorie MEGA. Ik zelf volg altijd netjes maandelijkse zakelijke webinar van Microsoft waarin alle updates behandelt worden inclusief uitleg en impactanalyse en waar tijd is om vragen te stellen.

Zeker als security professional kun je niet zeggen dat je het OS niet voorziet van updates...dan heb je je eigen vak niet begrepen. Stap dan inderdaad over naar een Linux distro en waan je veilig.
10-05-2019, 12:34 door Anoniem
Door Rexodus:Ik wil een ROCK-STABLE systeem. En dat is W10 met al z'n troep die erop draait al lang niet meer.
1) je begint te ranten over Windows 10, maar dit topic gaat over Firefox.
2) Moeilijk om van een GRATIS browser een 100% betrouwbaarheid te eisen, het is niet dat je voor een 100% SLA betaald namelijk.
3) Ook Chrome en andere browsers hebben zo hun issues van tijd tot tijd, het blijft allemaal mensenwerk.
4) zoals het spreekwoord luidt: "de beste stuurlui staan aan wal.. "
10-05-2019, 12:58 door Anoniem
Door Rexodus: Jaja. Het gevoel van: Mijn PC is niet meer van mij, werd er die dag weer eens flink ingeweven. Niets wordt gevraagd. Alles wordt gewoon gedaan. En dat alleen maar omdat een aantal lui niet weten hoe ze met een computer moeten omgaan.

Niets is optioneel en zo wel, is het opt-out. Alles gaat achter je rug om. Micky$oft weet daar ook alles van. Daarom heb ik sinds februari geen updates met W10 gehad. Weet niet of dit de bedoeling is, maar ik laat mijn systeem niet meer verneuken door een stelletje prutsers aan de andere kant van de planeet. Nou heb ik wel ergens gelezen dat ze ons meer controle willen geven wat betreft de updates, maar dat moet ik eerst nog zien.

Voor mij als power user is het er allemaal niet veiliger op geworden. Laat staat beter! Want ook bij mijn browser heb ik zware maatregelen genomen om het update proces zoveel mogelijk te kunnen controleren.

Ja ik weet dat het allemaal niets met deze situatie te maken heeft. Certificaat gezeik of niet. Ik ben het helemaal zat om als proefkonijn gebruikt te worden. Ik wil een ROCK-STABLE systeem. En dat is W10 met al z'n troep die erop draait al lang niet meer. Zover het dat ooit geweest is dan.

Kwaliteit gaat overal achteruit. Maar met software kun je dat niet gebruiken. Zoiets moet werken. Zeker in een productie-omgeving.
Dusss... Mozilla doet iets fout, regelt een workaround en vervolgens een oplossing EN roept Mea culpa.

En vervolgens begin jij een rant over een niet-gerelateerd bedrijf en hun werkwijze waar je niet mee overweg kunt. De laatste keer dat ik over mezelf dacht als 'poweruser' was rond het moment dat ik overging van W2k naar XP... Daarna heb ik het een en ander aan MS-gerelateerde cursussen gevolgd en hun manier van denken leren begrijpen (in plaats van mijn eigen manier als zaligmakend te willen beschouwen).
10-05-2019, 14:04 door Anoniem
Ach Rexodus, waar gewerkt wordt vallen spaanders is een uitdrukking, net zoals wie niet werkt maakt geen fouten.
Is jouw werk foutloos?
10-05-2019, 18:39 door Anoniem
Door Anoniem: Ik snap al die agressie niet zo. Mijn Windows 10 systeem is altijd netjes up-to-date en heeft nog nooit problemen gehad waardoor iets niet meer werkt of ik een update moet terugdraaien.
En hoe staat het gesteld qua privacy?
10-05-2019, 18:55 door [Account Verwijderd]
Door Anoniem: Ach Rexodus, waar gewerkt wordt vallen spaanders is een uitdrukking, net zoals wie niet werkt maakt geen fouten.
Is jouw werk foutloos?

Vrijwel. Als iets stabiel is, blijf ik er met mijn jatten vanaf. En dan draait dat jaren zonder problemen ja. Tegenwoordig is er om de zoveel tijd weer wat. Elke dag moet alles anders. Logisch dat het zo'n zooi is. Werk eens aan stabiliteit in plaats van functionaliteit. Maar daar is geen geld voor! Alles moet nieuwer en flitsender als de concurrent. Alles andere heeft een veel lagere prioriteit.

Browser met SLA? Edge zeker haha ;)

Ahja, ik ben gepensioneerde power_user. Vandaar de term uit het NT4/2K tijdperk. Gelukkig moet ik al die stapels boeken niet meer door zeg. Verschrikkelijk. Meer leren als werken in de ict. Zeker nu..
10-05-2019, 22:55 door Anoniem
Is jouw werk foutloos?
Vrijwel. Als iets stabiel is, blijf ik er met mijn jatten vanaf. En dan draait dat jaren zonder problemen ja.
In dit geval was jouw certificaat ook gewoon verlopen omdat je juist niets doet.

De oplossing tegen verlopen certificaten is juist dat je ze tijdig vernieuwd. Omdat dit maar eens in de zoveel jaar is, kan je dat makkelijk vergeten. Gebeurt overigens wel vaker, maar dan minder spectaculair.
11-05-2019, 21:04 door Anoniem
De mensen van Firefox doen toch hun best zeg alsof we zelf nooit een fout maken .
Maar goed volgende keer wel even in de agenda zetten als ze weer verlopen .
15-05-2019, 09:54 door spatieman
dat ze met de billen bloot gaan ,en excuses aanbieden is meer als top.
ik ben allang blij dat het weer werkt zoals het hoort.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.