Llegamos a ustedes gracias a:



Noticias

Mozilla se disculpa por la falla en el complemento Firefox

[16/05/2019] Mozilla se ha disculpado por el fiasco a principios de este mes cuando un certificado caducado deshabilitó la mayoría de los complementos de Firefox de los usuarios.

"Nos esforzamos por hacer de Firefox una gran experiencia. El fin de semana pasado fracasamos, y lo sentimos", escribió Joe Hildebrand, el recientemente nombrado jefe de ingeniería de Firefox, en un post en el blog de la empresa. "Le hemos defraudado y lo que ha sucedido puede haber hecho que pierda un poco la confianza en nosotros, pero esperamos que nos dé la oportunidad de recuperarla", concluyó Hildebrand.

El error comenzó justo después de las 9 p.m., hora del este, el viernes 3 de mayo, cuando expiró un certificado utilizado para firmar digitalmente las extensiones de Firefox. Como Mozilla no había renovado el certificado, Firefox asumió que no se podía confiar en los complementos, que eran potencialmente maliciosos, y desactivó todos los ya instalados. Los complementos no se pueden añadir al navegador por la misma razón.

A medida que los usuarios se volvían locos, Mozilla introdujo una solución provisional en el navegador a través de su sistema de estudios, infraestructura que normalmente se encarga de llevar el código de prueba a grupos pequeños o de recopilar datos sobre las reacciones a los contenidos patrocinados. Debido a que el enfoque de los estudios no llegó a todos, el 5 y 7 de mayo Mozilla envió dos actualizaciones de Firefox -66.0.4 y 66.0.5- que corrigieron el error de encadenamiento de certificados.

Aunque Hildebrand no describió la debacle en detalle, Eric Rescorla, el director de tecnología de Firefox, sí lo hizo. Rescorla explicó cómo se firman digitalmente los complementos de Firefox, qué causó el incidente y por qué algunos usuarios no se dieron cuenta de que sus complementos estaban paralizados hasta mucho más tarde que otros. También narró los pasos que los ingenieros de Mozilla tomaron del bate, y los que se implementaron más tarde, produciendo lo que se leyó como un franco postmortem.

"No estábamos seguros de que ninguno de estos (enfoques) funcionara, así que decidimos perseguirlos en paralelo y desplegar el primero que pareciera que iba a funcionar", indicó Rescorla. "Al final del día, terminamos implementando el segundo arreglo, el nuevo certificado".

Lo más importante es que Rescorla expuso sus ideas sobre los pasos que Mozilla debería seguir para asegurarse de que no vuelva a ocurrir. "Claramente necesitamos ajustar nuestros procesos tanto para que éste como otros incidentes similares tengan menos probabilidades de ocurrir como para que sean más fáciles de arreglar", escribió.

"En primer lugar, deberíamos tener una forma mucho mejor de seguir el estado de todo lo que hay en Firefox, que es una bomba de tiempo potencial, y asegurarnos de que no nos encontremos en una situación en la que se produzca una explosión inesperada", anotó Rescorla, refiriéndose claramente a la omisión que llevó a la expiración del certificado. "En segundo lugar, necesitamos un mecanismo para poder enviar rápidamente las actualizaciones a nuestros usuarios incluso cuando -especialmente cuando- todo lo demás no funciona". Llamando al sistema de estudios "una herramienta imperfecta", Rescorla también señaló que el mecanismo de actualización de Firefox debe ser más sensible.

Mozilla publicará una evaluación más exhaustiva del incidente esta semana, prometió Rescorla, así como una lista de cambios previstos.