如果我在 Privoxy 中添加规则:
echo '{ +redirect{s@http://@https://@} }
.mozilla.org' >> /etc/privoxy/user.action
那么我无法安装 Firefox 附加组件。为什么?
我虽然只通过 HTTPS 安装了 Firefox 附加组件!如果它不只使用 HTTPS,那么它可能会以某种方式受到损害,有人制作了一个自动化工具:获取子网(例如:LAN)中的附加组件安装并用恶意代码替换它们...... presto。 .a torjaned Add-on 已安装,并且可以做任何用户可以做的事情(谁正在运行 Firefox)。
这个很重要!有人可以确认我吗?
谢谢。
Mozilla 扩展,无论下载站点怎么说,都是通过以下 URL 提供的:
http://releases.mozilla.org/pub/mozilla.org/addons/NUMBER/EXTENSION_NAME.xpi
但是,事情是这样的:releases.mozilla.org通过 DNS 进行负载平衡,它被用作内容分发网络。这是挖掘结果:
;; ANSWER SECTION:
releases.mozilla.org. 60 IN CNAME releases.geo.mozilla.com.
releases.geo.mozilla.com. 60 IN A 216.165.129.141
releases.geo.mozilla.com. 60 IN A 64.50.233.100
releases.geo.mozilla.com. 60 IN A 64.50.236.52
releases.geo.mozilla.com. 60 IN A 64.50.236.214
releases.geo.mozilla.com. 60 IN A 128.61.111.9
releases.geo.mozilla.com. 60 IN A 129.101.198.59
releases.geo.mozilla.com. 60 IN A 131.188.12.212
releases.geo.mozilla.com. 60 IN A 155.98.64.83
releases.geo.mozilla.com. 60 IN A 156.56.247.196
releases.geo.mozilla.com. 60 IN A 204.152.184.113
releases.geo.mozilla.com. 60 IN A 204.152.184.196
releases.geo.mozilla.com. 60 IN A 204.246.0.136
releases.geo.mozilla.com. 60 IN AAAA 2001:6b0:e:2018::1337
这些是域可以占用的所有 IP,每次使用 URL 时都可以访问不同的服务器。它们都是不同的服务器,通常托管在世界各地的各个大学中。
问题来了:
我刚刚知道的测试结果证实这些服务器都不支持 HTTPS 连接。
因此,如果您盲目地尝试访问https://releases.mozilla.org/pub/mozilla.org/addons/NUMBER/EXTENSION_NAME.xpi请求将失败,或者由于某些服务器不会立即拒绝而花费太长时间连接,所以它必须超时。
time wget https://releases.mozilla.org/pub/mozilla.org/addons/138/stumbleupon-3.81-fx+sm.xpi
https://releases.mozilla.org/pub/mozilla.org/addons/138/stumbleupon-3.81-fx+sm.xpi
Resolving releases.mozilla.org... 129.101.198.59, 131.188.12.212, 155.98.64.83, ...
Connecting to releases.mozilla.org|129.101.198.59|:443... failed: Connection timed out.
Connecting to releases.mozilla.org|131.188.12.212|:443... failed: Connection refused.
Connecting to releases.mozilla.org|155.98.64.83|:443... failed: Connection timed out.
Connecting to releases.mozilla.org|156.56.247.196|:443... failed: Connection refused.
Connecting to releases.mozilla.org|204.152.184.113|:443... failed: Connection timed out.
Connecting to releases.mozilla.org|204.152.184.196|:443... failed: Connection refused.
Connecting to releases.mozilla.org|204.246.0.136|:443... failed: Connection refused.
Connecting to releases.mozilla.org|216.165.129.141|:443... failed: Connection refused.
Connecting to releases.mozilla.org|64.50.233.100|:443... failed: Connection refused.
Connecting to releases.mozilla.org|64.50.236.52|:443... failed: Connection refused.
Connecting to releases.mozilla.org|64.50.236.214|:443... failed: Connection refused.
Connecting to releases.mozilla.org|128.61.111.9|:443... failed: No route to host.
Connecting to releases.mozilla.org|2001:6b0:e:2018::1337|:443... failed: Network is unreachable.
real **9m31.370s**
请求最终失败花了 9:30 分钟(我现在没有 IPv6 连接,所以我不知道最后一个服务器是否支持它,但我对此表示怀疑)。
对于第三方验证,这有帮助:https ://www.ssllabs.com/ssldb/analyze.html?d=releases.mozilla.org
只是说清楚:像HTTPS Everywhere这样的扩展将不起作用-实际上我对其进行了测试,并且该插件仍然通过HTTP提供(它不会重写releases.mozilla.org-如果这样做,您将无法获得扩展名。)
是的,Mozilla 插件默认安装在 HTTP 请求上。尽管如果您使用HTTPS Everywhere,它会以 SSL 模式安装。