Firefox首席技术长瑞斯科拉(Eric Rescorla)写了一篇详细的博客文章,详细解释了上周这款浏览器的附加组件是如何突然崩溃的,是如何修复的,以及公司未来如何避免出现另一个“armagadd附加组件”。
该公司已经解释说,大量禁用附加组件是由于签名证书到期,因为它在一个周末推出了更新,并匆忙修复了这个问题。
现在,我们有了更多关于证书如何过期的详细信息,以及为什么它会在不同的时间影响人们。
Rescorla解释说,Mozilla在周五晚上6点左右发现了这个问题,大概当时技术团队正准备在周末打卡下班。那时,并不是所有的用户都受到影响,因为“插件大约每24小时检查一次,检查的时间因用户而异。”一旦用户安装的Firefox启动了检查,它会发现相关的签名证书已经过期,并禁用了所有由它签名的附加组件——其中大部分都是这样的。
Rescorla详细介绍了考虑并最终部署的修复程序,但Firefox的许多人在他的文章中寻找的关键问题是,为什么花了这么长时间?
首先,CTO澄清说,团队在“凌晨2点44分,或者少于9个小时后”发布了修复程序,然后又花了6-12个小时,我们的大多数用户才得到它。这实际上是一个很好的起点。”
他接着详细解释了为什么修复这样的东西并不像看起来那么简单,包括公司自己的安全协议是“良好的实践”,但“如果你想在紧急情况下颁发新证书,有点不方便”。
Rescorla说,即使是现在,也不是所有用户都收到了补丁,包括使用旧版本的用户。正如我们之前对这个问题的报道中提到的,一些人出于各种原因故意坚持使用过时的版本,通常是因为某个特定的附加组件在该版本之后停止更新,或者是因为他们使用的是较旧的操作系统。
Firefox表示,它无法为这些用户提供解决方案,而是建议他们升级到更新、更安全的浏览器版本。
最后,这篇文章详细介绍了Firefox将从整个崩溃中吸取的一些教训,其中最重要的是改进了对潜在时间敏感问题的跟踪,以及在更新系统本身无法工作时推送紧急更新的方法。
Rescorla表示,该公司将在下周对问题及其处理进行正式的“事后调查”,此外,该公司还对用户抱怨进度缓慢的抱怨做出了回应:
“作为当时参加会议的人,我可以说,人们在艰难的情况下非常努力地工作,几乎没有浪费时间。”