Расширения устанавливаются в профиль в подкаталог extensions. Можно в свойствах этого подкаталога в правах доступа отобрать у пользователя право на запись в него.

Это если запрет записи распространить и на подкаталоги в extensions. Если же запрет установить аккуратно - только на сам extensions, не затрагивая его существующие файлы и подкаталоги, то обновление того, что есть, работать должно. (Точнее так: обновление расширений, находящихся в подкаталогах, работать будет. А будет ли работать обновление расширений, лежащих файлами в extensions, зависит от того, как оно выполняется - записью нового файла поверх существующего или удалением старого файла и созданием нового.)

В самом крайнем случае для обновления можно будет временно вернуть разрешение на создание файлов. Не так уж и часто обновления выходят, тем более для Thunderbird.

1. Это надо писать не в userChrome.css, а в userContent.css
2. От установки расширения с помощью перетаскивания файла мышкой на окно дополнений это не защитит.

Отредактировано yup (23-05-2017 23:04:50)

Сделал такие настройки. файлы лежащие в пользовательском коталоге ограничивать по правом(userContent.css, userChrome.css)
Не нашел Shortkey для открытие запрещеных менюшек. они вообще есть?

=== userContent.css ===
/* set default namespace to XUL */
@namespace url("http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul");

/* Отключаем вывод кнопки для загрузки из файла. */
#header-utils-btn{
    display: none !important;
}

=== userChrome.css ===
/* set default namespace to XUL */
@namespace url("http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul");

/* Отключаем вывод Дополнения из контекстного меню. */
#appmenu_addons {
    display: none !important;
}

/* Отключаем вывод Настройки из контекстного меню. */
#appmenu_customize {
    display: none !important;
}

/* Отключаем вывод Инструментов из контекстного меню. */
#appmenu_tasksMenu {
    display: none !important;
}

/* Отключаем вывод Дополнения из верхнего меню. */
#addonsManager {
    display: none !important;
}

/* Отключаем вывод Дополнения из верхнего меню. */
#addonsManager {
    display: none !important;
}

/* Отключаем вывод Импорт из верхнего меню. */
#menu_import {
    display: none !important;
}

/* Отключаем вывод Настройка из верхнего меню. */
#menu_preferences {
    display: none !important;
}

/* Отключаем вывод Инструменты разработчика из верхнего меню. */
#devtoolsMenu {
    display: none !important;
}

=== mozilla.cfg ===
//
// Отключаем просмотр паролей.
lockPref("pref.privacy.disable_button.view_passwords", true);
// Отключаем дополнения.
lockPref("xpinstall.enabled", false);
// Запрещаем принудительно загрузку содержимого из интернета.
lockPref("mailnews.message_display.disable_remote_image", true);

Вы про профиль Windows?
Если да то пользователь работает от непревилигированого пользователя.

Вы к чему сейчас?

xpinstall.enabled выпилили в Fx48. Я пробовал в Fx52 и в TB52 перетаскивать — первый раз этот параметр сработал,
я сразу же ещё раз перетащил, и дополнение всё-таки установилось.

Ещё вчера проверил в FF 52 - не работает. Причём, в отличие от negodnik, у меня расширение с первой же попытки установилось.

Нет. Профили находятся в каталоге %APPDATA%\Thunderbird\Profiles - каждый профиль в своём подкаталоге (со случайным именем), поэтому их без труда можно наплодить сколько угодно и запускать Thunderbird с любым из них, указывая его параметром командной строки.
Пользовательские настройки (включая набор расширений и набор учётных записей почты) в каждом профиле свои.

Существует полмиллиона сторонних утилит, показывающих все сохранённые пароли Мозилловских программ. И как минимум одна программа, позволяющая узнать пароль от любого почтового ящика, независимо от используемого почтового клиента.

Добавлено 25-05-2017 09:12:01
Хотите спрятать пароли - ставьте свой собственный промежуточный сервер с другими паролями.

Отредактировано yup (25-05-2017 09:29:36)

Большая ли разница между:
1. Запустить Thunderbird и нажать кнопку "Показать все пароли"
и
2. Запустить спецутилитку и нажать кнопку "Показать все пароли"
?

Пароли в файл пишутся шифрованными. Ключ шифрования/расшифровки записан в другой файл. Функция шифрования находится в строго определённой DLL. Форматы файлов, алгоритм шифрования и все-все-все подробности известны, так как программа доступна в исходниках.
Всё, что сторонней программе нужно сделать: вызвать функцию расшифровки из DLL и подсунуть её информацию, прочитанную из двух файлов.

Надёжная защита паролей - это когда они ещё и мастер-паролем зашифрованы. Однако это защита от злоумышленника, но никак не от того пользователя, который этот мастер-пароль должен будет вводить при каждом запуске Thunderbird.

Отредактировано yup (25-05-2017 10:38:00)