> Если подпись скомпрометирована, то только в путь. Постоянно происходит. А если УЦ
> не озаботится отзывом сертификатов, то могут и сам УЦ из списка
> доверенных удалить.Такой произвол говорит только против системы иерархического доверия к сертификатам.
> При обновлении и конфликтных пакетах такое иногда происходит. Либо ты доверяешь магии
> пакетного менеджера, либо вручную управляешь его работой. Вот в генте обновился,
> и раз - руби таргет пропал, старые пакеты больше не собираются.
> Остаётся только выкачивать их себе в локальный репозиторий и поддерживать самому.
> У меня вот таким образом самопальная поддержка Qt4 сделана, ибо не
> весь софт переехал на Qt5.
То есть, ваш пакетный менеджер не уведомляет о том, какие пакеты будут удалены при обновлении и не запрашивает подтверждения на такие действия, если в коммандлайне явно не указано обратное? И в вашем дистрибутиве такие обновления происходят по крону в конфигурации после установки?
> В общем, если ты доверяешь компу автоматику - доверяй. И не удивляйся,
> если автоматика будет решать трудные вопросы по-своему. Не нравится эта автоматика
> - возьми другую.
Я рассчитываю на то, что без моего явного и осознанного согласия автоматика не будет распоряжаться конфигурацией моего компьютера, следуя командам с серверов разработчиков. Простыни привэйси-полайси, где по сложившейся практике у всех резервируются права на всё что можно в рамках законодательства де-факто таковым согласием не являются.
> А вы точно умеет читать? Гарантированную небезопасность от негарантированной безопасности
> отличаете? Мозилла вполне корректна и распространением заведомо ложной порочащей честь
> и достоинство информацией не занимается.
https://support.mozilla.org/en-US/kb/add-on-signing-in-firefox
>Firefox prevents you from installing unsigned add-ons and disables any unsigned add-ons that are already installed.
>If an unsigned add-on is disabled, you won't be able to use it and the Add-ons manager will show a message that the add-on could not be verified for use in Firefox and has been disabled. You can remove the add-on from Firefox and then reinstall a signed version from the Mozilla Add-ons site if one is available.
>If a signed version is not available, contact the add-on developer or vendor to see if they can offer an updated and signed version of that add-on. You can also ask them to get their add-on signed.
Вся статья рассматривает неподписанные аддоны исключительно в контексте их вредоносности. В не ESR/Developer/Nightly ветке отключение невозможно даже через about:config.
Юридически все чисто, да, наверное.
> Это вы о чём вообще? Всё настройки у пользователя.
Под конфигурацией я имел в виду всё состояние системы, включая установленный набор программ.
> Какое ещё личное пространство в магазине? Магазин - он не личный, он
> мозилле принадлежит. И пользователя никто не принуждает в него ходить.
На моем пк мозилле ничего не принадлежит.
> А если у пользователя не хватает мозгов, чтобы выбрать магазин через дорогу,
> то их не хватит и на другой выбор. Вот и
> приходится за него решать, кому доверять, а кому нет.
Презумпция недееспособности по дефолту при позиционировании не как продукта для слабоумных - лукавство.