Beheer

IT beheer
Mozilla

Wereldwijde Firefox-storing toont misser en macht Mozilla

De wereldwijde 'sabotage' van add-ons in browser Firefox wordt uit de doeken gedaan door browsermaker Mozilla.

© Mozilla Foundation
14 mei 2019

De wereldwijde 'sabotage' van add-ons in browser Firefox wordt uit de doeken gedaan door browsermaker Mozilla.

Het wereldwijde wegvallen van add-ons in Firefox vorig weekend blijkt veroorzaakt door een verlopen certificaat. De nu gedeelde postmortem van deze storing belicht Mozilla's misser en Firefox' afhankelijkheid, maar brengt ook de updatemacht van de browsermaker aan het licht.

Opensourcestichting Mozilla biedt opnieuw zijn excuses aan voor de grote uitval van add-ons in zijn browser Firefox. De functionele toevoegingen, gemaakt door derden, waren vorig weekend plots uitgeschakeld bij gebruikers. Naast deze 'sabotage' van reeds geïnstalleerde add-ons konden extensies ook niet worden toegevoegd aan Firefox. De oorzaak blijkt een verlopen certificaat te zijn, wat de ontwikkelaars en beheerders van Mozilla dus niet hadden vernieuwd.

Experimenteersysteem ingezet

Terwijl gebruikers plots hun nuttige (en/of leuke) add-ons moesten missen, heeft Mozilla opvallende noodmaatregelen genomen. In een eerste reactie heeft de browsermaker een systeem ingezet dat normaliter alleen voor testdoeleinden dient. Via zijn Studies-infrastructuur heeft Mozilla een update gepusht naar gewone gebruikers, om te compenseren voor het verlopen certificaat. Gebruikers moesten hiervoor dat ingebouwde Studies ingeschakeld hebben staan in de instellingen van hun browser. Dit lijkt standaard het geval te zijn; in zijn uitleg over dit systeem spreekt Mozilla van een afmeldmogelijkheid.

CTO Eric Rescorla geeft uitleg in een uitgebreide blogpost over de storing en de genomen stappen om het op te lossen. "Ironisch genoeg was de oplossing voor dit probleem een speciaal soort add-on, genaamd een system add-on (SAO)", schrijft Rescorla in zijn technische postmortem. Mozilla heeft eerder al een eigen systeem ontwikkeld om onderzoek uit te kunnen voeren. Dit zogeheten Normandy-systeem laat de browsermaker SAO's uitserveren aan Firefox-gebruikers, om hun gebruik van de browser te kunnen meten. "Deze SAO's worden automatisch uitgevoerd op de browser van de gebruiker."

Diepgaande toegang

Normaliter worden deze speciale add-ons alleen gebruikt om experimenten uit te voeren, legt de Mozilla-CTO uit. Maar vanwege de aard en opzet hebben de SAO's uitgebreide toegang tot de interne API's (application programming interfaces) van Firefox. "Belangrijk in dit geval is dat ze nieuwe certificaten kunnen toevoegen aan de certificatendatabase die Firefox gebruikt om add-ons te verifiëren."

Na de inzet van dit paardenmiddel bleek dat Mozilla daarmee niet alle getroffen gebruikers heeft weten te bereiken. Vervolgens heeft de Firefox-maker dus nog de meer gebruikelijke stappen gezet van het uitbrengen van een reguliere update voor zijn browser. Daarin is een nieuw certificaat voor digitale controle van add-ons meegekomen. Mozilla belooft nu ook interne maatregelen te nemen voor betere bewaking van zijn processen, zoals voor het verlengen van certificaten.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.