Firefox 4.0 出來之後，一直沒有抽時間出來更新 CertAlert，不過最近看到 AT&T 上的 Facebook 流量莫名被轉到中國跟南韓去，似乎有某種暗黑勢力蠢蠢欲動。
頗擔心 CNNIC 有惡意作為，稍微更新了 CertAlert，讓它支援 Gecko 2.0 XPCOM API，可以裝在 Firefox 4.0 上。新版安裝檔可以於 github 下載。

安裝檔

http://dl.dropbox.com/u/343256/certalert-0.0.6_4c9cc25.xpi
https://github.com/downloads/chihchun/certalert/certalert-0.0.6_4c9cc25.xpi

原始碼 https://github.com/chihchun/certalert

Mozilla 官方 AMO 因爲疏於更新，暫時被拿下來了，將重新上傳等官方審閱後即可再次下載。
2011-03-29 01:30

官方 AMO 已經重新開放安裝，仍於申請審閱程序中。

Flash 沒你的份！

Source:FoxTrot
用 JavaScript/SVG 作筆順示範
自從 iPad 上市以來，市場似乎不少人對 Apple iPad 上少了 Flash 支援，頗有微詞。姑且不論當下 Flash 在市場上的佔有率與開發工具的普及程度。若我們從另外一個角度來看，從新的 HTML5 規格的推出與新型瀏覽器的 JavaScript 效率戰爭，瀏覽器本身與作業系統的介接程度與效能都有大幅的提昇。
某種程度上，我們隱約可以見到接下來的一兩年，瀏覽器上會出現的應用軟體局面。或許，到時候就已經不需要 Flash 的存在，只靠 JavaScript 與瀏覽器就可以達到現有 Flash 可以完成的效果。
半年前，因緣際會，查找了幾個國內外的筆順示範軟體。筆順這種功能，一般成年人大概用不著，但對於小學生或學習華語的外籍朋友，就很有參考價值。市場上似乎也有不少針對這種需求的筆順軟體。
查找了一下免費資源，找到了國語推行委員會的常用國字標準字體筆順學習網。這個網站的所有功能都是利用 Flash 開發，為了讓它可以在某些不支援 Flash 的場合使用，我試著查了一下這個網站的技術作法。其實它背後的筆順資料庫只是一組 XML 文件，利用前端的 Flash …

二月初發表了在 Linux 上移除 CNNIC 憑證一文後，受到相當多的文章引用與關注。
原文中，提到移除高風險憑證的作法，但其實我相信很多人弄不懂不同平台的作法，也不清楚所謂 NSS 的機制，沒有清除系統憑證，只是試圖移掉 Firefox 中的驗證。所以很多使用者不知道自己是否真的移除，或是以為移除，重新開啟 Firefox 後，因為 NSS 的設計，憑證又自動建入資料庫中。
依照目前的討論 (#542689, #476766)，Mozilla 應該採無罪推論原則。也就是說雖然 CNNIC 的風評不佳，但在它實際作惡前，我們理因相信它無罪。雖然有一些技術上的提議，希望可以降低憑證管理的問題跟風險，但是這些功能恐怕需要點時間才會實踐。
所以，短時間內，使用者還是得自己做一些設定來自保。但是前文步驟又十分繁雜，我們需要給使用者一個比較簡單的操作措施。
在香港朋友 Benlau、小兔黑黑 的倡議與支持下，我們寫了一個小 Firefox 附加元件，稱為 Cert Alert，這個元件的功能是「自動提醒」使用者，網頁中使用了特定 SSL Root CA 的內容。

這個附加元件採 MPL 1.1 …

一月底開始，一些朋友開始討論 Firefox 3.6 中，將置入 CNNIC 的 CA 憑證。這件事情是去年年底，CNNIC 對 Firefox 申報納入 CNNIC 的憑證 (#476766)，目前已於 3.6 版中內建 CNNIC 憑證。
目前此事已經在 Mozilla Security Policy mailing list 公開討論，在華人網路社群也引起一陣騷動。像是 AutoProxy 等社群都提出 CNNIC CA：最最最嚴重安全警告！。在原提案 #476766 中亦有人整理了一些客觀事實。
不過根據我主觀的看法，奉勸所有人盡快移除 CNNIC 相關的 …

若 Firefox 開發延伸套件時，應該會知道 Firefox 對於外掛並沒有安全防護機制的，只要你能裝進系統，大約就可以使用所有的元件或存取系統資源。延伸套件被視為可信賴的軟體，開發者應負起各延伸套件的安全性。
對此，Firefox 在 Java Script 開發環境的安全設計主要分為賦權與未賦權的兩種安全模式。賦權的環境中，軟體可以存取所有的 XPCOM，沒有任何限制，於是它可以讀取或修改使用者的歷史紀錄、Cookie 等，甚至存取所有系統檔案。而 non-privileged 則僅提供限制嚴格的 HTML DOM API 權限，Script 的存取也依照其網址與網域名稱給予嚴格限制，避免 XSS 或本地檔案讀取等安全問題發生。
無論是外部的網頁，或者是 XUL 軟體，都是使用 XML/HTML/Java Script/CSS 來撰寫，因此概念上都是由 Window 載入 XML 文件，並透過 Java …

剛讀到這篇 Component Directory Lockdown 新聞時，乍看標題誤以為 Firefox 3.6 中所有的 XPCOM components 都將被閹掉、無法使用了。認真讀了火狐人肉盾牌 (Human Shield) Johnathan Nightingale 的公告、以及 Vladimir Vukićević 的詳盡說明，知道關掉的是官方自動載入 Firefox 安裝目錄下的 components 目錄。
其實是為了一些惡搞軟體所下的限制，特別是在 Windows 平台上。許多 Windows 使用者都會安裝一些防毒軟體、輔助工具等等，許多 Windows 上的工具軟體常便宜行事，會偷偷在 Firefox/components …