Topic: [DEVELOPER] Aggiornamenti delle estensioni via https

[aziel]

Ho un paio di mie estensioni da aggiornare a firefox 3... di solito dopo aver controllato che tutto funzioni non faccio altro che pubblicarle con l'install.rdf con la nuova compatibilità

Su un forum di una estensione, in una richiesta della versione per firefox 3, ho trovato:

Are there plans to update LibX to support Firefox 3?  It's in beta, but
requires a different (secure) install/update method.

Cioè? di questa cosa non so nulla, se l'è sognata quell'utente o devo modificare qualcosa?

Modificato il titolo del Topic, era: «Estensioni e firefox 3»

[miki64]

Dal nostro Regolamento:

Nuove versioni dei software

    * Su questo forum si fornisce supporto esclusivamente per le versioni ufficiali dei software Mozilla: sono quindi escluse le versioni alfa, beta o nightly.
    * In occasione dell'uscita di una nuova versione verrà inserito da parte dello staff un apposito annuncio nella sezione Annunci ed una notizia sulla home page del sito dell'Associazione.
    * Non aprire nuovi topic per:
          o chiedere supporto su versioni non ufficiali (nightly)
          o annunciare l'uscita di nuove versioni
          o chiedere quando verranno rilasciate le versioni in italiano
          o chiedere quali modifiche sono state introdotte nella nuova versione: un link al changelog ufficiale verrà reso disponibile nell'annuncio della nuova release

[aziel]

probabilmente ho sbagliato sezione e andava in planet mozilla visto che non mi interessa avere supporto, ma solo sapere se il "different (secure) install/update method" che paventava quell'utente esisteva o meno

[gialloporpora]

Mozilla consiglia di rendere disponibili gli update via https:
Mozilla Developer Center

Il software.it (fornito da @underpass)

Ti consiglio di chiedere anche su  eXtenzilla, dove troverai sviluppatori di estensioni che potranno esserti più utili a chiarire i tuoi dubbi.
Ciao

[aziel]

grazie mille, provvederò ad aggiornare il tutto

[gialloporpora]

[OT]
Quali sono le tue estensioni ?
Così per curiosità, mi fa piacere che ci siano developer italiani.
[/OT]

[klades]

Ho un paio di mie estensioni da aggiornare a firefox 3... di solito dopo aver controllato che tutto funzioni non faccio altro che pubblicarle con l'install.rdf con la nuova compatibilità

Su un forum di una estensione, in una richiesta della versione per firefox 3, ho trovato:

Are there plans to update LibX to support Firefox 3?  It's in beta, but
requires a different (secure) install/update method.

Cioè? di questa cosa non so nulla, se l'è sognata quell'utente o devo modificare qualcosa?

Modificato il titolo del Topic, era: «Estensioni e firefox 3»

Con Firefox (e Thunderbird 3) le estensioni di default possono avere come link di aggiornamento solo un link su protocollo https, altrimenti succede questo:
- se l'estensione non ha link di aggiornamento, no problem;
- se l'estensione ha un link di aggiornamento su protocollo http oppure su https ma con problemi di certificato, viene di default disattivata. Questo comportamento può essere modificato dall'utente agendo su about:config.

Questo "simpatico" sistema è stato introdotto per paranoico timore di spoofing in fase di aggiornamento.
Ciao, Paolo

[Underpass]

Sinceramente: capisco che sia una rottura di scatole per chi sviluppa (e per chi come te, Paolo, sviluppa ben più di una estensione ).

Però in linea di principio il sistema mi pare corretto. Mi sembra di ricordare che ad un certo punto la procedura di aggiornamento venne proprio additata come potenziale falla nella sicurezza.

Forse si sarebbe potuto implementare in altro modo, ma non essendo uno sviluppatore non saprei dire.

[aziel]

[OT]
Quali sono le tue estensioni ?
Così per curiosità, mi fa piacere che ci siano developer italiani.
[/OT]

Dublin Core Neviewer
e la Bibliobar per la biblioteca dell'università bicocca

sono entrambi modifiche di estensioni (bibliobar deriva dalla "metaestensione" libx)
non sono un gran programmatore visto che, per fortuna, non è il mio lavoro, ma solo l'hobby a tempo perso di un bibliotecario-archivista

Una cosa, leggendo klades, non mi è chiara:
se io firmo un'estensione posso aggiornarla tramite http?
sembra paradossale, ma ho più facilità in questo modo (se si eccettua quella su addons mozilla dove fanno tutto loro)

[Underpass]

Sì, ma se non sbaglio devi firmare i file install.rdf utilizzando un'applicazione che si chiama McCoy

http://developer.mozilla.org/en/docs/McCoy

[klades]

@Underpass: il problema non è la rottura di scatole, il problema è che non tutti hanno a disposizione un server con protocollo https per fornire gli aggiornamenti, data anche la gestione iperburocratica di A.M.O. (a parte che non vedo perchè uno/a dovrebbe essere costretto/a a distribuire le proprie estensioni su A.M.O.).

Lo spoofing in fase di aggiornamento mi sembra una falla di sicurezza solo teorica, non mi risulta che sia mai esistito un solo caso del genere.
E poi visto che vengono distribuite estensioni (anche tramite A.M.O.) con componenti binari (file exe o dll o so) senza i sorgenti allegati - problema di sicurezza potenzialmente ben più grave - mi fa un po' ridere tutta questa preoccupazione sul link per l'aggiornamento.

@aziel: sì, un'altra alternativa che puoi usare e che avevo scordato è la "firma" dell'estensione, ecco due link utili:

http://developer.mozilla.org/en/docs/Extension_Versioning,_Update_and_Compatibility#Securing_Updates
http://developer.mozilla.org/en/docs/McCoy

[vincas435]

Ho un paio di mie estensioni da aggiornare a firefox 3... di solito dopo aver controllato che tutto funzioni non faccio altro che pubblicarle con l'install.rdf con la nuova compatibilità

Su un forum di una estensione, in una richiesta della versione per firefox 3, ho trovato:

Are there plans to update LibX to support Firefox 3?  It's in beta, but
requires a different (secure) install/update method.

Cioè? di questa cosa non so nulla, se l'è sognata quell'utente o devo modificare qualcosa?

Modificato il titolo del Topic, era: «Estensioni e firefox 3»

s