在未經允許的情況下修改您的瀏覽器設定,或竊取您的個人資訊的 附加元件 日益猖獗。某些附加元件可能會新增您不想要的工具列與按鈕、改變您的搜尋引擎設定、或在您的裝置中注入廣告或者是惡意軟體。Firefox 現在會驗證您安裝的憑證是否已經過數位簽署。本文會解釋「附加元件簽署機制」如何防護惡意軟體被安裝入電腦中。
目次
什麼是附加元件簽署機制?
Mozilla 會驗證並「簽署」遵守安全規範的附加元件。所有陳列在 addons.mozilla.org 中的附加元件都會經過此簽署機制。而來自其他網站的擴充套件,也必須遵守相同的指引,方能被 Mozilla 簽署。
目前 Firefox 使用的黑名單機制,已經難以阻擋日益猖獗的惡意及未驗證的附加元件。附加元件簽署機制要求開發者遵循 Mozilla 開發者準則。附加元件簽署機制透過提升未驗證附加元件的安裝難度,幫助您避免瀏覽器被綁架與其它惡意軟體。
Firefox 會阻擋你安裝未驗證的附加元件,並停用已安裝的未簽署附加元件。
哪些附加元件需要被簽署?
擴充套件(能為 Firefox 新增功能的附加元件)和 語言包需要被簽署。佈景主題(改變 Firefox 外觀的附加元件)、語言套件以及其它種類的外掛程式則不需要。
我會在哪裡遇到未簽署的附加元件?
在 Firefox 附加元件官方網站上的套件,發佈前都已經經過安全性檢查。這些套件都已經經過驗證並被簽署。當您從其他網站安裝擴充套件時,Firefox 會檢查並確認該附加元件是否已被簽署。
如果 Firefox 停用了我安裝的未簽署套件,該怎麼辦?
如果某個套件因為未經簽署而被停用,您將無法使用它,附加元件管理員當中會提示 "無法驗證附加元件於 Firefox 使用,已被停用"。您可以 移除附加元件 並至 Mozilla 附加元件站 尋找有沒有簽署過的版本。
若找不到已簽署的版本,請聯絡套件作者或發行商,請他們釋出簽署過的版本。您可以提供他們以下文件連結:簽署並發佈你的附加元件。
該怎麼使用未簽署的附加元件?(進階用戶限定)
您可以在 Firefox 延伸支援版 (ESR)、開發者版、Nightly 版 的 Firefox 組態編輯器(about:config 頁面)中,將 xpinstall.signatures.required 設定為否,來覆蓋強制簽署附加元件的設定。如果要覆蓋語制簽署語言套件的設定,您需要將 extensions.langpacks.signatures.required 設為否。同時也有一些未列版本號的特別版 Firefox 允許您覆蓋此等設定,更多資訊,請參閱 MozillaWiki 的文章 簽署附加元件/擴充套件。