Mozilla meddelade tillbaka i början av 2015 för att det skulle kräva Firefox add-ons för att vara tecknat innan de installeras i release-och beta-versioner av webbläsare.
Tanken bakom flytten var att göra Firefox add-on landskapet till en säkrare plats för alla dess användare genom att skydda dem från invasiva eller direkt skadliga add-ons (eftersom de antingen skulle inte lämnas alls, eller om de var blockerad av undertecknandet scanner).
Det visar sig dock att processen inte kan vara lika effektivt som Mozilla hoppades att det skulle vara. Dan Stillman, en utvecklare som arbetar på Zotero-add-on till Firefox kritiserade Mozilla add-on undertecknandet planer kraftigt i ett senare blogginlägg.
Tillägg som inte finns på Mozillas officiella add-on store behöver lämnas när de är uppdaterade, och att de undertecknats, om de klarar automatisk inspektion, eller måste lämnas in för manuell granskning om de inte klarar det automatiska testet.
Dessa recensioner ta upp till sju veckor för preliminära tester som innebär att en ny version av Zotero inte kunde släppas samtidigt som fortfarande är under översyn, och det är inte bara ett problem på grund av den tid mellan att lämna in en release och få den signerad, men också för att det gör det omöjligt för utvecklarna att reagera snabbt när det är bråttom (tror säkerheten eller stabiliteten fix).
Om det inte vore illa nog, Stillman påpekar att AMO validator manus är inte effektiv som den kan kringgås lätt.
Vad detta betyder? Skadliga tillägg skall vara undertecknade om de klarar automatisk validering, och eftersom de inte ses över i detta fall av Mozilla anställda eller volontärer som kan erbjudas på tredje parts webbplatser eller via programvara för installatörer, och kommer att installera bara bra på att släppa Firefox eller beta Firefox.
En snabb proof of concept add-on skapades till bevis på den punkten. Det övervakar HTTP(S) begär för Basic Auth-Referenser och inlägg dem till en HTTP-server. Att det dessutom körs en godtycklig lokal process när en viss webbadress är laddad, och kommer att ladda ner godtycklig JavaScript-kod från en fjärransluten server och köra det med full behörighet när en annan är laddad i Firefox.
Mozilla: s svar? Enligt Stillman, Mozilla Add-ons Developer Relations Leda uppgav att “de flesta malware författare är lata” och att scannern skulle “blockera de flesta av skadlig kod”.
Det var i februari och inget verkar ha förändrats i detta avseende sedan. Mozilla har dock lägga till proof of concept-add-on till Firefox blockeringslista (inte den kod som används av det ändå), Stillman gick sedan vidare och lagt till ett slumpmässigt ID-till-add-on som gjorde att det återigen skulle passera add-on undertecknandet validering med flygande färger.
En sak som Mozilla anser för närvarande är att lägga till vitlista undantag från tillägg under vissa omständigheter. Detta diskuteras på Mozilla Add-ons användarupplevelse koncernen för närvarande.
Enligt informationen som publiceras där, undantag kan göras om add-ons uppfylla vissa krav, till exempel en 1-års gedigen meritlista och har ingen egentlig åsikt frågor, och mer än 100 000 aktiva dagliga användare.
Genomförandet skulle hjälpa populära tilläggen få släpper ut snabbt för användarna, men det kommer inte att rätta till det underliggande problemet med att add-on-signering är inte effektiv i att förebygga skadliga tillägg installeras i Firefox.
Nu är Du: Vad tar du på lägg till-på signering?