Подпись надстройки Firefox раскритикована за неэффективность

by Опубликовано

Еще в начале 2015 года Mozilla объявила, что будет требовать подписи надстроек Firefox прежде, чем они могли быть установлены в выпускной и бета-версиях веб-браузера.

Идея этого шага заключалась в том, чтобы сделать ландшафт надстройки Firefox более безопасным местом для пользователей, защищая их от инвазивных или откровенно вредоносных надстроек (поскольку они либо вообще не будут отправлены, либо заблокированы подписью. сканер).

Однако оказывается, что этот процесс может оказаться не таким эффективным, как надеялась Mozilla. Дэн Стиллман, разработчик надстройки Zotero для Firefox, подверг резкой критике планы подписания надстройки Mozilla. последнее сообщение в блоге.

Надстройки, которые не размещены в официальном магазине надстроек Mozilla, необходимо отправлять всякий раз, когда они обновляются, и они подписываются, если проходят автоматическую проверку, или должны быть отправлены на ручную проверку, если они не проходят автоматическую проверку. .

Эти обзоры занимают до семи недель для предварительных обзоров, что означает, что новая версия Zotero не может быть выпущена, пока все еще находится на рассмотрении, и это не только проблематично из-за времени между отправкой релиза и его подписанием, но и потому, что это делает невозможным для разработчика быстро реагируйте, когда время имеет значение (подумайте о безопасности или стабильности).

обход валидатора амо

Стиллман отмечает, что, если этого недостаточно, сценарий валидатора AMO неэффективен, поскольку его можно легко обойти.

Что это значит? Вредоносные надстройки будут подписаны, если они пройдут автоматическую проверку, и, поскольку они не проверяются в этом случае сотрудниками или волонтерами Mozilla, могут быть предложены на сторонних веб-сайтах или через установщики программного обеспечения и будут нормально устанавливаться в выпуске Firefox. или бета-версия Firefox.

Чтобы доказать это, было создано дополнение для быстрой проверки концепции. Он отслеживает запросы HTTP (S) для базовых учетных данных аутентификации и отправляет их на HTTP-сервер. Кроме того, он запускает произвольный локальный процесс при загрузке данного URL-адреса и загружает произвольный код JavaScript с удаленного сервера и запускает его с полными привилегиями, когда другой загружается в Firefox.

Ответ Mozilla? По словам Стиллмана, руководитель отдела по связям с разработчиками надстроек Mozilla заявил, что «большинство авторов вредоносных программ ленивы» и что сканер «блокирует большинство вредоносных программ».

Это было еще в феврале, и с тех пор, похоже, в этом отношении ничего не изменилось. Mozilla, однако, добавила доказательство концепции надстройки в черный список Firefox (но не код, используемый им), Стиллман затем пошел дальше и добавил случайный идентификатор к надстройке, что означало, что она снова будет передавать надстройку подписание проверки с честью.

В настоящее время Mozilla рассматривает возможность добавления исключений из белого списка для надстроек при определенных обстоятельствах. Это обсуждается на Группа по работе с надстройками Mozilla В настоящее время.

Согласно размещенной там информации, исключения могут быть сделаны, если надстройки будут соответствовать определенным требованиям, таким как годичный послужной список без серьезных проблем с проверкой и более 100 000 активных пользователей ежедневно.

Реализация помогла бы популярным расширениям быстро выпускать выпуски для пользователей, но не решит основную проблему, заключающуюся в том, что подпись надстроек неэффективна для предотвращения установки вредоносных расширений в Firefox.

Теперь ваша очередь : Что вы думаете о подписании надстроек?

Смотрите так же:

  1. Узнайте, какие устройства были подключены к вашему компьютеру
  2. Проверьте, какие USB-устройства были подключены к вашему компьютеру
  3. Проверьте, активирована ли Windows 10
  4. Информация о выпуске Firefox 64.0

Опубликовано