da Martin Brinkmann, il 17 agosto, 2018 in Firefox – 6 commenti
Mozilla eliminati 23 estensioni di Firefox dal sito ufficiale di Firefox Addons sito web di Mozilla AMO e browser estensioni sono stati installati in oggi.
Il divieto colpisce 23 estensioni per Firefox che sono stati installati da più di 500.000 utenti del browser. L’elenco comprende il famigerato Web Security estensione per Mozilla ha evidenziato come “grande” privacy estensione in un post sul blog sul sito ufficiale prima di eliminare qualsiasi riferimento senza menzionare il fatto che in un post del blog.
Web Security ha avuto a 220.000 utenti in quel momento; altri banditi estensioni includono Facebook Video Downloader pop-up Blocker, Semplicemente, Ricerca, Auto Distruggere i Cookies, o Google NoTrack.
Un bug report sul sito ufficiale di Bugzilla, ma sito di monitoraggio che Mozilla mantiene le liste di tutti estensione Id che sono interessati.
Mozilla Ingegnere Rob Wu ha analizzato il Web estensione di Sicurezza dopo che ha colpito la notizia. Ha preso la decisione di cercare di Web Security modelli disponibili pubblicamente le estensioni di Firefox e trovare estensioni di simile snooping codice. Infatti, tutte le estensioni sono stati trovati per inviare i dati al server stesso, che la Sicurezza del Web collegato.
Tutte le estensioni dati utente raccolti e inviati i dati per rimuovere i server in base a Mozilla.
Wu ha riferito le sue scoperte per Mozilla che ha aggiunto l’Id dell’estensione alla black list l’organizzazione gestisce e rimuovere i componenti aggiuntivi dal sito web di Mozilla.
Estensioni di terra sulla black list vengono automaticamente disattivati se sono installati in Firefox e non più utilizzabili. Firefox Add-on block list è una lista pubblica che chiunque può accedere.
La black list è a tre voci per il 16 di agosto e uno di loro è per la Sicurezza Web e altri add-ons.
Web Security ed altri — utente di Invio dei dati al server remoto inutilmente e il potenziale di esecuzione di codice remoto. Attività sospette nell’account per account multipli su AMO.
Mozilla ha pubblicato una spiegazione del perché ha fatto la decisione di bloccare le estensioni per Firefox su Bugzilla.
- Le estensioni inviato più dati al server remoto che sembrava necessario.
- Alcuni dati vengono inviati attraverso le connessioni non sicure.
- La raccolta dei dati e l’invio non è chiaro o comunicati chiaramente al di là di essere rivelato in un grande informativa sulla privacy.
- Possibilità di esecuzione di codice in modalità remota è costruito in estensioni, e parziale offuscamento è utilizzato per l’identificazione di più complicato.
- Stesso codice, è presente in più di add-ons che hanno diverse funzioni e i diversi autori. Sembra che lo stesso sviluppatore o un gruppo che è dietro tutte queste estensioni.
Parole Di Chiusura
La rimozione delle estensioni di Mozilla AMO e uso della funzione block list per farli disabili in installazioni di Firefox è stata la mossa giusta da Mozilla.
Si deve chiedere, però, perché queste estensioni non sono stati bloccati da essere elencato in primo luogo. Mozilla ha cambiato il processo di revisione per Firefox WebExtensions nel 2017 da manuale (umana) recensioni automatico (computer) giudizi. Umana giudizi sono ancora una cosa su Mozilla AMO, ma le estensioni possono atterrare in Negozio quando passano automatica recensioni.
Mentre diminuisce il tempo necessario per pubblicare nuove estensioni e di estensione aggiornamenti, significa anche la possibilità che il maligno, la privacy-invasiva, o comunque problematico estensioni di terra in Negozio.
Mozilla dovuto fare un passo in più volte, in passato già, per esempio, quando alcuni crypto data mining estensioni si erano scatenati. Il sistema non è quasi così male come Google per le estensioni di Chrome, ma è ben lungi dall’essere perfettamente al sicuro. (via Bleeping Computer)
Ora: Qual è la tua opinione su questo?