Mozilla kunngjorde tilbake i begynnelsen av 2015 at det ville kreve Firefox add-ons til å være signert før de kunne være installert i utgivelsen og beta-versjoner av nettleseren.
Ideen bak flyttingen var å gjøre Firefox add-on liggende et tryggere sted for brukere ved å beskytte dem fra invasiv eller direkte skadelige add-ons (siden de enten ville ikke bli sendt i det hele tatt, eller om de var blokkert av signatur-scanner).
Det viser seg imidlertid at prosessen kan ikke være så effektiv som Mozilla håpet det skulle være. Dan Stillman, en utvikler som jobber på Zotero add-on for Firefox kritisert Mozilla add-on signering planer tungt i en senere blogg innlegg.
Add-ons som er ikke vert på Mozilla ‘ s offisielle legge-på-butikken må være innsendt når de er oppdatert, og de er logget hvis de passerer automatisk inspeksjon, eller trenger å bli sendt til manuell kontroll dersom de ikke passere den automatiske testen.
Disse anmeldelsene ta opp til syv uker for foreløpige vurderinger som betyr at en ny versjon av Zotero kan ikke bli utgitt mens de fortsatt under evaluering, og det er ikke bare problematisk på grunn av tiden mellom å sende inn en slipp og å få den signert, men også fordi det gjør det umulig for utbygger til å reagere raskt når tiden er essensen (tenk sikkerhet eller stabilitet fix).
Hvis det ikke skulle være ille nok, Stillman peker på at AMO-validator skriptet er ikke effektivt som det kan bli forbigått lett.
Hva betyr dette? Skadelige add-ons vil være logget hvis de passerer automatisk validering, og siden de er ikke vurdert i dette tilfellet av Mozilla ansatte eller frivillige, kan få tilbud på tredjeparts nettsteder eller via programvare montører, og vil installere bare fint i utgivelsen av Firefox eller Firefox beta.
En rask proof of concept tilleggsprogrammet ble opprettet for å bevis det punktet. Den overvåker HTTP(S) forespørsler om Grunnleggende Auth Legitimasjon, og legger dem til en HTTP-server. Det går videre en vilkårlig lokale prosessen når en bestemt url-adressen er lastet inn, og vil laste ned vilkårlig JavaScript-kode fra en ekstern server og kjøre det med fulle rettigheter når en annen er lagt i Firefox.
Mozilla reaksjon? I henhold til Stillman, Mozilla Add-ons Utvikler Relasjoner Føre uttalt at “de fleste malware forfattere er lat”, og at skanneren ville “blokkere de fleste av skadelig programvare”.
Det var tilbake i februar, og ingenting ser ut til å ha endret seg i denne sammenheng siden. Mozilla gjorde imidlertid legge proof of concept add-on til Firefox sperreliste (ikke-kode som brukes av det selv), Stillman deretter gikk videre og lagt til en tilfeldig ID til add-on som betydde at det ville igjen passere add-on signering validering med glans.
En ting som Mozilla mener tiden er å legge til hvitelisten unntak til add-ons under visse omstendigheter. Dette er diskutert på Mozilla Add-ons brukeropplevelse gruppe for tiden.
I henhold til den informasjonen som er lagt ut der, unntak kan gjøres hvis add-ons for å møte visse krav, for eksempel en 1-års solid track record med ingen alvorlige gjennomgang problemer, og mer enn 100 000 aktive brukere daglig.
Implementering ville hjelpe populære utvidelser få utgivelser raskt ut til brukerne, men det vil ikke løse det underliggende problemet som add-on signering er ikke effektiv i å hindre skadelige utvidelser fra å bli installert i Firefox.
Nå er Du: Hva er din ta på legg-på-signering?