Mozilla anunció en febrero de 2015 que requeriría la firma de complementos en un futuro cercano para mejorar la seguridad y privacidad de los usuarios del navegador.

La idea aquí era reducir la cantidad de extensiones maliciosas lanzadas para el navegador y aquí especialmente las que no se distribuyen a través del sitio web de Mozilla mediante la verificación de firmas.

La única opción que tiene Mozilla para bloquear los complementos maliciosos actualmente es agregarlos a la lista de bloqueo global, pero eso requiere que Mozilla conozca la extensión y es entonces cuando el daño ya está hecho.

La firma de complementos afecta a los usuarios y desarrolladores en diversos grados. Los desarrolladores de complementos, por ejemplo, deben enviar sus complementos a Mozilla independientemente de si planean lanzarlos en Mozilla AMO o no.

Si bien en teoría es posible omitir el envío, significaría que solo los usuarios de Dev y Nightly pueden instalar el complemento, ya que esos son los dos únicos canales para los que la firma no es obligatoria.

Los complementos sin firmar se bloquearán en las versiones Stable, Beta y ESR de Firefox una vez que la función llegue sin opción para anular la función en las preferencias del navegador o en la página about: config.

Esto incluye todos los complementos existentes instalados en el navegador que no están firmados y también todas las extensiones con modificaciones personalizadas (que, según Mozilla, deben enviarse luego para su firma).

La versión más reciente de los complementos alojados actualmente en AMO y cualquier versión nueva que carguen los desarrolladores se firmarán automáticamente. Mozilla ya mencionó que este no será el caso para versiones antiguas.

Los desarrolladores que aún no han subido sus extensiones a AMO, HTTPS Everywhere es un excelente ejemplo, deben hacerlo si quieren que sus complementos permanezcan disponibles para los usuarios de Stable, Beta y ESR.

Si está ejecutando la versión estable de Firefox, es posible que haya notado que la firma de complementos ya ha comenzado.

firma de complemento de firefox

Cuando abre el administrador de complementos en el navegador, al cargar about: addons, por ejemplo, es posible que ya vea algunos complementos firmados enumerados allí.

Revisé Firefox Stable, Dev y Nightly, pero solo la versión estable del navegador enumeró el complemento NoScript como firmado.

La firma no tiene ningún impacto en la actualidad, ya que no se aplica.

Los usuarios de Pale Moon, por otro lado, se vieron afectados negativamente por esto, ya que los bloqueos fueron causados ​​por extensiones con firmas o archivos de manifiesto con formato incorrecto. Actualización de hoy to Pale Moon 25.3.2 soluciona el problema.

Los desarrolladores del navegador de terceros ya mencionaron que no implementarán la firma de complementos en el navegador.

Originalmente planeado para ser lanzado en Firefox 39, la firma de complementos ahora está en camino de ser lanzado con Firefox 40.

Información adicional está disponible en Sitio web Wiki de Mozilla y el error de seguimiento principal.