互鎖的復(fù)雜系統(tǒng)和FIREFOX 5月附加中斷的混亂

Mozilla發(fā)布了多份動作后報告，分析了5月份的主要混亂情況，這些報道削弱了大多數(shù)Firefox附加組件。報告還提出了防止今后類似事件的建議。

5月3日星期五東部時間晚上8點后開始慘敗，當(dāng)時用于數(shù)字簽名Firefox擴展的證書已過期。由于Mozilla忽略了更新證書，因此Firefox認為附加組件無法被信任 - 它們可能是惡意的 - 并且已禁用已安裝的任何附加組件。出于同樣的原因，無法將加載項添加到瀏覽器中。

Mozilla通過其研究系統(tǒng)，通常負責(zé)將測試代碼推送到小組或收集有關(guān)贊助內(nèi)容的反應(yīng)數(shù)據(jù)的基礎(chǔ)設(shè)施，對瀏覽器進行了一次臨時修復(fù)。由于研究方法沒有達到每個人，在5月5日和5月7日，Mozilla發(fā)布了兩個Firefox更新--66.0.4和66.0.5--解決了證書問題。

每個人都提出的第一個問題是，”你是怎么讓這種情況發(fā)生的?'“Firefox的首席技術(shù)官Eric Rescorla在公司博客的一篇文章中寫道。”在高層次上，故事似乎很簡單：我們讓證書過期。這似乎是一個簡單的計劃失敗。“

然而，Rescorla對這種特征提出了異議。他說，情況“比這更復(fù)雜”，他說負責(zé)團隊知道證書即將到期但是假設(shè)瀏覽器會忽略到期日期，因為在之前的事件中，證書檢查已被禁用。“這導(dǎo)致了對中間證書檢查狀態(tài)的混淆。此外，F(xiàn)irefox QA計劃沒有包含證書過期測試，??因此沒有檢測到問題。這似乎是我們測試計劃中的一個基本疏忽。”

其他人則在不同的角度分別報道危機，包括事故報告和技術(shù)報告。

后者分別由主要軟件工程師兼高級工程師Peter Saint-Andre和Matthew Miller撰寫，得出了類似的結(jié)論。“這一事件不是任何個人或團隊的錯，而是由于所有相關(guān)團隊都沒有很好地理解一套互鎖的復(fù)雜系統(tǒng)，”兩人寫道。

Saint-Andre和Miller報告中的細節(jié)包括Mozilla將其QA(質(zhì)量保證)測試外包給Cognizant Softvision，Cognizant Softvision是一家跨國公司，辦事處分散在和烏克蘭，羅馬尼亞和“內(nèi)部缺乏”或者隨叫隨到的質(zhì)量保證資源導(dǎo)致在各種平臺上測試提議修復(fù)的延遲，因為Softvision的外部團隊無法通過正常渠道立即獲得，“圣安德烈和米勒說。“事實上，與個人Softvision團隊成員合作可能會引入法律上的復(fù)雜情況和數(shù)據(jù)泄漏的可能性。”

雖然Rescorla 在附加中斷后不久在一篇博客文章中詳細說明了Mozilla的一些失敗，但他已經(jīng)承諾了一份推薦的更改列表，以便后來發(fā)布。他7月12日的帖子以及圣安德烈和米勒7月2日的報道都很好地履行了這一承諾。

建議之一：快速響應(yīng)修補程序交付機制，可以推動Firefox用戶的緊急更新。

5月，Mozilla迅速為桌面版Firefox創(chuàng)建了一個臨時修復(fù)程序，并使用Studies系統(tǒng)將修補程序推送到瀏覽器。Mozilla轉(zhuǎn)向研究盡快部署修補程序，而不是讓用戶等待完整的瀏覽器更新。然而有些人報告說他們沒有收到修補程序，或者沒有啟用Firefox的附加組件。如果用戶已經(jīng)禁用了研究，可能出于隱私原因(默認情況下啟用該機制)，例如，他們就不會獲得補丁。

“這里的教訓(xùn)是，我們需要一種機制，允許快速更新，而不是遙測和研究，”Rescorla說。“我們想要的屬性是能夠為任何啟用了自動更新的用戶快速部署更新。這是我們的工程師已經(jīng)在開發(fā)的工作。”

圣安德烈和米勒呼應(yīng)Rescorla，但也詳細討論了Firefox附加組件的加密簽名。

“從根本上說，完整的Firefox團隊對Firefox附加組件的加密簽名的角色，功能和操作沒有共同的理解，”他們寫道。“盡管有幾個很好的理由來簽署附加組件(監(jiān)控未在AMO上托管的附加組件，阻止惡意加載項，通過將附加組件鏈接到Mozilla根目錄來提供加密保證)，但對于基礎(chǔ)知識沒有共識這樣做的理由。此外，維護完整的公鑰基礎(chǔ)設(shè)施(PKI)是一項復(fù)雜的任務(wù)，我們不一定能夠牢牢掌握所涉及的工程和業(yè)務(wù)權(quán)衡。“

他們建議生成更完整的文檔，以便每個人都知道附加組件的簽名是如何工作的，并且假設(shè)Mozilla致力于當(dāng)前的附加簽名方法，那么“我們的證書管理流程，特別是我們的密鑰翻轉(zhuǎn)策略”將得到改進。