af Martin Brinkmann på August 17, 2018 i Firefox – 6 kommentarer
Mozilla renset 23 Firefox-udvidelser fra den officielle Firefox Addons hjemmeside Mozilla AMO og browsere udvidelser blev installeret i dag.
Forbuddet påvirker 23 udvidelser til Firefox, der blev installeret med mere end 500.000 brugere af browseren. Listen omfatter den berygtede Web-Sikkerhed udvidelse, at Mozilla fremhævet som en “stor” privacy extension i et blog-indlæg på den officielle hjemmeside, før du sletter en henvisning, uden at nævne det faktum, i blog-indlæg.
Web-Sikkerhed havde 220,000 brugere på det tidspunkt; andre forbudte udvidelser omfatter Facebook Video Downloader, Popup-Blocker, skal du Blot Søge, Auto Ødelægge Cookies, eller Google NoTrack.
En bug report på den officielle Bugzilla, men tracking site, at Mozilla vedligeholder lister alle extension id ‘ er, der er berørt.
Mozilla Ingeniør Rob Wu analyseret Web-Sikkerhed udvidelse efter den ramte nyheder. Han traf beslutningen om at søge efter Web-Sikkerhed mønstre i alle offentligt tilgængelige Firefox-udvidelser og findes udvidelser, der anvendes lignende snooping kode. I virkeligheden, alle udvidelser blev fundet til at sende data til den samme server, som Web-Sikkerhed er forbundet til.
Alle udvidelser, der er indsamlet brugeren data, og de sendte data for at fjerne servere i henhold til Mozilla.
Wu rapporteret resultaterne til Mozilla, som tilføjede id ‘ er for forlængelse til blokeringslisten organisationen fastholder og fjernet add-ons fra Mozillas hjemmeside.
Udvidelser, der lander på blokeringslisten er automatisk deaktiveret, hvis de er installeret i Firefox og ikke længere er brugbare. Firefox ‘ s Add-ons blokeringslisten er en offentlig liste, som alle kan få adgang.
Blokeringsliste har tre indgange til August 16, og én af dem er Web-Sikkerhed og andre add-ons.
Web-Sikkerhed og andre-Afsendelse bruger data til eksterne servere unødigt, og potentialet for fjernkørsel af programkode. Mistænkelig aktivitet på konto for flere konti på AMO.
Mozilla udgivet en forklaring på, hvorfor det har taget beslutningen om at blokere udvidelser til Firefox på Bugzilla:
- De udvidelser, der sendes flere data til eksterne servere end syntes det er nødvendigt.
- Nogle af de data, der er sendt på tværs af usikre forbindelser.
- De data indsamling og afsendelse er ikke gjort klart, eller oplyses klart, bortset fra at blive afsløret i et stort privacy policy.
- Potentiale til at afvikle kode via fjernadgang, som er indbygget i udvidelser, og delvis formørkelse er brugt til at gøre identifikationen mere kompliceret.
- Samme kode, som findes i flere add-ons, som har forskellige funktioner og forskellige forfattere. Det ser ud til, at den samme udvikler eller gruppen står bag alle disse udvidelser.
Afsluttende Ord
Fjernelse af extensions fra Mozilla AMO og brug af blokeringslisten funktion til at få dem slået fra i Firefox installationer var det rigtige at flytte af Mozilla.
Man er nødt til at spørge, men hvorfor disse udvidelser ikke blev blokeret fra at blive opført i første omgang. Mozilla har ændret revisionsproces for Firefox WebExtensions i 2017 fra manuel (menneskelige) anmeldelser til automatisk (computer) anmeldelser. Menneskelige anmeldelser er stadig en ting på Mozilla AMO, men udvidelser kan være i landet i Butikken, når de passerer automatisk anmeldelser.
Mens der nedsætter den tid, det tager at offentliggøre nye udvidelser og udvidelse opdateringer, betyder det også, at chancen for, at ondsindede, privacy invasive, eller på anden måde problematiske udvidelser landet i Butikken.
Mozilla måtte træde i flere gange tidligere, for eksempel når flere crypto minedrift udvidelser, der blev sluppet løs. Systemet er ikke nær så slemt, som Google er til Chrome udvidelser, men det er langt fra at være helt sikker. (via Bleeping Computer)
Nu kan Du: Hvad er dit bud på dette?