Το Mozilla θα απαγορεύσει τώρα κρυφές ή ασαφείς εξαιρέσεις κώδικα

Darkcrizt

4 λεπτά

Firefox και απόρρητο

Η Mozilla έχει προειδοποιήσει σχετικά με την αυστηροποίηση των κανόνων του καταλόγου των προσθηκών για Firefox (Mozilla AMO) για την αντιμετώπιση της τοποθέτησης κακόβουλων προσθηκών.

Καλά από 10 Ιουνίου 2019 (τρέχον έτος), θα απαγορευτεί η τοποθέτηση στον κατάλογο προσθήκες που χρησιμοποιούν μεθόδους συσκότισης, δηλαδή πρόσθετα που χρησιμοποιούν μεθόδους όπως η συσκευασία του κώδικα σε μπλοκ Base64 ή άλλες μεθόδους.

Ταυτόχρονα, τεχνικές ελαχιστοποίησης κώδικα (συντομογραφία για ονόματα μεταβλητών και συναρτήσεων, συνδυασμός αρχείων JavaScript, αφαίρεση επιπλέον κενών, σχολίων, αλλαγών γραμμής και διαχωριστικών) επιτρέπονται ακόμη αλλά εάν, εκτός από την ελαχιστοποιημένη έκδοση, ο πλήρης πηγαίος κώδικας είναι συνδεδεμένος στην προσθήκη.

Firefox συνιστά στους προγραμματιστές να χρησιμοποιούν τεχνικές συσκότισης ή ελαχιστοποίησης κώδικα να δημοσιεύσει μια νέα έκδοση πριν από τις 10 Ιουνίου που συμμορφώνεται με τους ενημερωμένους κανόνες AMO και περιλαμβάνει τον πλήρη πηγαίο κώδικα όλων των στοιχείων.

Μετά τις 10 Ιουνίου, οι προβληματικές προσθήκες θα αποκλειστούν στον κατάλογο και οι ήδη εγκατεστημένες παρουσίες θα απενεργοποιηθούν στα συστήματα των χρηστών μέσω διανομής μαύρης λίστας.

Επιπλέον, θα συνεχιστεί η πρακτική αποκλεισμού συστημάτων που είναι εγκατεστημένα στα συστήματα των χρηστών με εγκατεστημένες προσθήκες που περιέχουν κρίσιμα τρωτά σημεία, παραβίαση του απορρήτου και εκτέλεση ενεργειών χωρίς τη συγκατάθεση ή τον έλεγχο του χρήστη.

Η Mozilla θα λάβει μέτρα εναντίον όσων δεν συμμορφώνονται με τους κανόνες

Σε γενικές γραμμές, Οι προγραμματιστές είναι ελεύθεροι να διατηρούν τις προσθήκες τους με όποιον τρόπο επιλέξουν.

Ωστόσο, για τη διατήρηση της κατάλληλης ασφάλειας δεδομένων και την αποτελεσματική αναθεώρηση του κώδικα, Το Mozilla έχει ορισμένες τεχνικές απαιτήσεις που πρέπει να πληρούν όλα τα πρόσθετα.

  • Τα πρόσθετα θα πρέπει να ζητούν μόνο τα απαραίτητα δικαιώματα για τη λειτουργία
  • Τα πρόσθετα πρέπει να είναι αυτοτελή και να μην φορτώνουν τον απομακρυσμένο κώδικα για εκτέλεση
  • Οι προσθήκες πρέπει να χρησιμοποιούν κρυπτογραφημένα κανάλια για την αποστολή ευαίσθητων δεδομένων χρήστη
  • Τα πρόσθετα θα πρέπει να αποφεύγουν τη συμπερίληψη διπλότυπων ή περιττών αρχείων
  • Ο πρόσθετος κώδικας πρέπει να γράφεται με τρόπο που να είναι αναθεωρήσιμος και κατανοητός. Οι αναθεωρητές ενδέχεται να σας ζητήσουν να αναδιαμορφώσετε τμήματα του κώδικα, εάν δεν είναι δυνατός ο έλεγχος.
  • Τα πρόσθετα δεν πρέπει να επηρεάζουν αρνητικά την απόδοση ή τη σταθερότητα του Firefox.
  • Μόνο εκδόσεις έκδοσης βιβλιοθηκών ή/και πλαισίων τρίτων μπορούν να συνδυαστούν με μια προσθήκη. Δεν επιτρέπονται τροποποιήσεις σε αυτές τις βιβλιοθήκες/πλαίσια.

Ανάλογα με τη φύση της παράβασης πολιτικής, Η Mozilla θα χρησιμοποιήσει διαφορετικούς τύπους κλειδαριών.

Με ένα "σκληρό μπλοκ", το πρόσθετο είναι απενεργοποιημένο στον Firefox και οι χρήστες δεν μπορούν να παρακάμψουν το μπλοκ. Αυτή η ενέργεια προορίζεται για προσθήκες με τα ακόλουθα χαρακτηριστικά:

  • Φαίνεται ότι παραβιάζουν επίτηδες
  • Περιέχουν κρίσιμα τρωτά σημεία ασφαλείας.
  • Διακυβεύουν το απόρρητο των χρηστών.
  • Παρακάμπτουν σοβαρά τη συναίνεση ή τον έλεγχο του χρήστη.

Un Το Soft Software Lock θα απενεργοποιήσει μια προεπιλεγμένη προσθήκη, αλλά θα επιτρέψει στον χρήστη να την παρακάμψει και να συνεχίσει να τη χρησιμοποιεί. Αυτός ο αποκλεισμός χρησιμοποιείται για προσθήκες με τα ακόλουθα χαρακτηριστικά:

  • Προκαλούν σοβαρά προβλήματα σταθερότητας και απόδοσης στον Firefox.
  • Περιέχουν μη κρίσιμες παραβάσεις πολιτικής.

Ο προσθήκες που φαίνεται να είναι κλώνοι, επαναλήψεις ή κλείσιμο αντιγράφων ήδη αποκλεισμένων προσθηκών θα καταργηθούν επίσης.

Εάν ένα πρόβλημα επηρεάζει μόνο ένα υποσύνολο εκδόσεων, το μπλοκ μπορεί να εφαρμοστεί ειδικά στις επηρεαζόμενες εκδόσεις. Θα αποκλειστούν επίσης προσθήκες που περιέχουν κρυφό ή μη αναγνώσιμο κώδικα.

Όταν αποφασίσουμε να αποκλείσουμε μια προσθήκη, μπορεί να επικοινωνήσουμε με τον προγραμματιστή εάν πιστεύουμε ότι το πρόβλημα μπορεί να επιλυθεί.

Καθώς η ασφάλεια των χρηστών μπορεί να διακυβεύεται, ζητάμε από τους προγραμματιστές να απαντήσουν εντός τριών ημερών. Εάν δεν ληφθεί απάντηση εντός αυτού του χρονικού πλαισίου ή εάν ο προγραμματιστής δεν είναι σε θέση να επιλύσει το πρόβλημα, ενδέχεται να συνεχίσουμε να αποκλείουμε.

"Γενικά, δεν θα επικοινωνήσουμε με τους προγραμματιστές πριν αποκλείσουμε εάν αποδειχθεί ότι η προσθήκη παραβιάζει σκόπιμα τις πολιτικές μας ή εάν η παραβίαση είναι αρκετά σοβαρή."

είπε η mozilla ότι η στρατηγική σχεδιάστηκε για να σας βοηθήσει να χειριστείτε καλύτερα κακόβουλες επεκτάσεις:

«Όταν αποφασίζουμε να αποκλείσουμε ένα πρόσθετο στον Firefox, αναρωτιόμαστε εάν ο κίνδυνος είναι τέτοιος που υπερβαίνει την επιλογή του εάν ο χρήστης πρέπει να εγκαταστήσει το λογισμικό, το βοηθητικό πρόγραμμα που παρέχει, καθώς και την ελευθερία του προγραμματιστή να διανέμει και να ελέγχει το λογισμικό του. "Εάν βρεθούμε σε μια κατάσταση όπου δεν μπορούμε να πάρουμε μια σαφή απόφαση, θα εξετάσουμε την ασφάλεια για να προστατεύσουμε τον χρήστη."

πηγή: https://developer.mozilla.org


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: AB Internet Networks 2008 SL
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   Rafa dijo
    πριν 5 χρόνια

    Νομίζω ότι η πρωτοβουλία της ομάδας του firefox είναι μεγάλη, καθώς οι επεκτάσεις με ασαφή κώδικα μπορεί να έχουν κακόβουλο κώδικα και να είναι λογισμικό υποκλοπής spyware και σε επίπεδο προγράμματος περιήγησης στο linux αυτό είναι πολύ αναστατωμένο καθώς δεν έχουμε συνηθίσει να αντιμετωπίζουμε προγράμματα προστασίας από ιούς ή άλλες μορφές αυτού του τύπου και όχι επειδή χρησιμοποιώντας το Linux δεν είμαστε πλέον θύματα κακόβουλων εφαρμογών ή επεκτάσεων που μπορούν ακόμη και να αναλάβουν κρίσιμα δεδομένα, όπως κωδικούς πρόσβασης ή αριθμούς πιστωτικών καρτών. Είναι επίσης λυπηρό που μια καλή δουλειά από την ομάδα του firefox μπορεί να αμαυρωθεί από επεκτάσεις αμφίβολου κώδικα. Στο παρελθόν είχα ήδη κάποια προβλήματα παρατηρώντας την αυτόματη δραστηριότητα αποστολής δεδομένων από το ιστορικό περιήγησής μου χωρίς τη συγκατάθεσή μου, και επίσης ανακατευθύνω σε σελίδες που δεν είχα κάνει επίκληση ή σε αναζητήσεις στο Google, αφήνοντας μου χορηγούς συνδέσμους που δεν είχαν καμία σχέση με αυτό που έψαχνα Για.

    Απάντηση στον Ράφα
  2.   Γιάννης dijo
    πριν 5 χρόνια

    Δεν είμαι Linux, αλλά η πρώτη εντύπωση είναι ότι τα «ταιριάσματα» δυσκολεύουν τον χρήστη να χρησιμοποιήσει επιλογές που δίνουν ασφάλεια ή γνώση στον χρήστη κατά την πλοήγηση. Καθιστά δύσκολο ακόμη και τον ορισμό του starpage ως εναλλακτικής μηχανής αναζήτησης. Δεν θα πέσει το FF στα χέρια της Google;;

    Απάντηση στον Juan
  3.   Δαβίδ dijo
    πριν 5 χρόνια

    Λοιπόν, επειδή δεν ξέρω προγραμματισμό, είμαι με τον Juan. Τα προγράμματα αποκλεισμού διαφημίσεων, εκτός από τις επεμβατικές διαφημίσεις, αποκλείουν επίσης κρυφούς συνδέσμους, άπειρες αναδυόμενες ανεπιθύμητες διαφημίσεις,… Οποιαδήποτε βελτίωση όσον αφορά την ασφάλεια είναι ευεργετική, αλλά γιατί όχι μια προειδοποίηση για τη συγκεκριμένη επέκταση και να αποφασίσετε αν θα την αποκλείσετε ή όχι; Η επέκταση προστασίας από ιούς μου έχει μπλοκαριστεί, (την οποία δεν θα πλήρωνα αν δεν την εμπιστευόμουν) και τώρα αναγκάζομαι να πλοηγούμαι χωρίς αυτήν ακόμη και στα windows. Μου φαίνεται λίγο πατερναλιστική στάση να είσαι ένα πρόγραμμα περιήγησης που προϋποθέτει ότι είναι ανεξάρτητο και τέτοια. Ή ίσως αν υπάρχουν άλλα ενδιαφέροντα τόσο κρυμμένα όσο οι κώδικες που ισχυρίζονται ότι αποφεύγουν

    Απάντηση στον David