在未經允許的情況下修改您的瀏覽器設定，或竊取您的個人資訊的 附加元件 日益猖獗。某些附加元件可能會新增您不想要的工具列與按鈕、改變您的搜尋引擎設定、或在您的裝置中注入廣告或者是惡意軟體。Firefox 現在會驗證您安裝的憑證是否已經過數位簽署。本文會解釋「附加元件簽署機制」如何防護惡意軟體被安裝入電腦中。

什麼是附加元件簽署機制？

Mozilla 會驗證並「簽署」遵守安全規範的附加元件。所有陳列在 addons.mozilla.org 中的附加元件都會經過此簽署機制。而來自其他網站的擴充套件，也必須遵守相同的指引，方能被 Mozilla 簽署。

目前 Firefox 使用的黑名單機制，已經難以阻擋日益猖獗的惡意及未驗證的附加元件。附加元件簽署機制要求開發者遵循 Mozilla 開發者準則。附加元件簽署機制透過提升未驗證附加元件的安裝難度，幫助您避免瀏覽器被綁架與其它惡意軟體。

Firefox 會阻擋你安裝未驗證的附加元件，並停用已安裝的未簽署附加元件。

哪些附加元件需要被簽署？

擴充套件（能為 Firefox 新增功能的附加元件）和 語言包需要被簽署。佈景主題（改變 Firefox 外觀的附加元件）、語言套件以及其它種類的外掛程式則不需要。

我會在哪裡遇到未簽署的附加元件？

在 Firefox 附加元件官方網站上的套件，發佈前都已經經過安全性檢查。這些套件都已經經過驗證並被簽署。當您從其他網站安裝擴充套件時，Firefox 會檢查並確認該附加元件是否已被簽署。

如果 Firefox 停用了我安裝的未簽署套件，該怎麼辦？

如果某個套件因為未經簽署而被停用，您將無法使用它，附加元件管理員當中會提示 "無法驗證附加元件於 Firefox 使用，已被停用"。您可以 移除附加元件 並至 Mozilla 附加元件站 尋找有沒有簽署過的版本。

若找不到已簽署的版本，請聯絡套件作者或發行商，請他們釋出簽署過的版本。您可以提供他們以下文件連結：簽署並發佈你的附加元件。

該怎麼使用未簽署的附加元件？（進階用戶限定）

您可以在 Firefox 延伸支援版 (ESR)、開發者版、Nightly 版 的 Firefox 組態編輯器（about:config 頁面）中，將 xpinstall.signatures.required 設定為否，來覆蓋強制簽署附加元件的設定。如果要覆蓋語制簽署語言套件的設定，您需要將 extensions.langpacks.signatures.required 設為否。同時也有一些未列版本號的特別版 Firefox 允許您覆蓋此等設定，更多資訊，請參閱 MozillaWiki 的文章 簽署附加元件/擴充套件。