Mozilla kieltää nyt piilotetut tai hämärtyneet koodivapautukset

Darkcrizt

4 minuuttia

Firefox ja yksityisyys

Mozilla on varoittanut laajennusten luettelosääntöjen tiukentamisesta Firefoxille (Mozilla AMO) torjua haitallisten laajennusten sijoittamista.

Hyvin 10. kesäkuuta 2019 alkaen (Tämä vuosi), se on kiellettyä sijoittaa luettelossa laajennukset, jotka käyttävät hämärtymismenetelmiä, eli laajennukset, jotka käyttävät menetelmiä, kuten koodin pakkaaminen Base64-lohkoihin tai muita menetelmiä.

Samalla koodin minimointitekniikat (muuttujien ja funktioiden nimien lyhenne, JavaScript-tiedostojen yhdistelmä, ylimääräisten välilyöntien, kommenttien, riviviivojen ja erotinten poistaminen) ovat edelleen sallittuja, mutta jos pienennetyn version lisäksi koko lähdekoodi liitetään laajennukseen.

Firefox suosittelee kehittäjiä käyttämään koodin peittämistä tai minimointia julkaista uusi versio ennen 10. kesäkuuta joka on ajan tasalla olevien AMO-sääntöjen mukainen ja sisältää kaikkien komponenttien täydellisen lähdekoodin.

10. kesäkuuta jälkeen ongelmalliset laajennukset estetään hakemistossa ja jo asennetut instanssit poistetaan käytöstä käyttäjien järjestelmissä jakamalla musta lista.

Lisäksi käyttäjien järjestelmiin asennettujen järjestelmien ja kriittisiä haavoittuvuuksia sisältävien lisäosien estäminen, luottamuksellisuuden rikkominen ja toimenpiteiden suorittaminen ilman käyttäjän suostumusta tai hallintaa jatkuu.

Mozilla ryhtyy toimiin niitä vastaan, jotka eivät noudata sääntöjä

Yleisesti, kehittäjät voivat vapaasti ylläpitää laajennuksia valitsemassaan muodossa.

Riittävän tietoturvan ylläpitämiseksi ja koodin tehokkaaksi tarkistamiseksi on kuitenkin Mozilla vaatii tiettyjä teknisiä vaatimuksia, jotka kaikkien laajennusten on täytettävä.

  • Laajennusten tulisi pyytää vain tarvittavat käyttöoikeudet roolille
  • Laajennusten on oltava itsenäisiä, eivätkä ne saa lähettää etäkoodia suoritusta varten
  • Laajennusten on käytettävä salattuja kanavia arkaluonteisten käyttäjätietojen lähettämiseen
  • Laajennusten tulisi välttää päällekkäisten tai tarpeettomien tiedostojen sisällyttämistä
  • Lisäkoodi tulisi kirjoittaa tavalla, joka on luettavissa ja ymmärrettävissä. Tarkastajat voivat pyytää sinua korjaamaan osan koodista, ellei sitä voida tarkistaa.
  • Lisäosat eivät saisi vaikuttaa haitallisesti Firefoxin suorituskykyyn tai vakauteen.
  • Vain kolmannen osapuolen kirjastojen ja / tai kehysten julkaisuversiot voidaan niputtaa laajennuksella. Näiden kirjastojen / kehysten muokkaaminen ei ole sallittua.

Käytäntörikkomuksen luonteesta riippuen Mozilla käyttää erityyppisiä lukkoja.

Kanssa "Hard block", laajennus on poistettu käytöstä Firefoxissa, eivätkä käyttäjät voi ohittaa estoa. Tämä toiminto on varattu laajennuksille, joilla on seuraavat ominaisuudet:

  • Näyttää siltä, ​​että he raiskaavat tarkoituksellisesti
  • Ne sisältävät kriittisiä tietoturva-aukkoja.
  • Ne vaarantavat käyttäjien yksityisyyden.
  • Ne kiertävät vakavasti käyttäjien suostumusta tai hallintaa.

Un Soft Software Lock poistaa oletuslaajennuksen käytöstä, mutta sallii käyttäjän ohittaa sen ja jatkaa sen käyttöä. Tätä lukitusta käytetään lisäosiin, joilla on seuraavat ominaisuudet:

  • Ne aiheuttavat vakavia vakaus- ja suorituskykyongelmia Firefoxissa.
  • Ne sisältävät ei-kriittisiä käytäntörikkomuksia.

Los Lisäosat, jotka näyttävät olevan klooneja, toistoja tai jo lukittujen laajennusten suljettuja kopioita, poistetaan myös.

Jos ongelma koskee vain osajoukkoa versioita, lukitusta voidaan käyttää erityisesti kyseisiin versioihin. Piilotettua tai lukukoodia sisältämättömät laajennukset myös estetään.

"Kun päätämme estää laajennuksen, voimme ottaa yhteyttä kehittäjään, jos mielestämme ongelma voidaan ratkaista.

Koska käyttäjien turvallisuus voi olla vaarassa, pyydämme kehittäjiä vastaamaan kolmen päivän kuluessa. Jos vastausta ei saada tänä aikana tai jos kehittäjä ei pysty ratkaisemaan ongelmaa, voimme jatkaa lukitusta.

"Yleisesti ottaen emme ota yhteyttä kehittäjiin ennen estämistä, jos laajennus osoittautuu tarkoituksellisesti rikkovan käytäntöjämme tai jos rikkomus on riittävän vakava."

Mozilla sanoi että strategia on suunniteltu auttamaan sinua paremmin käsittelemään haitallisia laajennuksia:

"Kun päätämme estää lisäosan Firefoxissa, ihmettelemme, onko riski sellainen, että se ylittää valinnan vaihtoehdon Käyttäjän on asennettava ohjelmisto, sen tarjoama apuohjelma sekä kehittäjän vapaus jakaa ja hallita heidän ohjelmistonsa. "Jos kohtaamme tilanteen, jossa emme voi tehdä selkeää päätöstä, etsimme turvallisuutta käyttäjän suojaamiseksi."

lähde: https://developer.mozilla.org


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Rafa dijo
    sitten 5 vuotta

    Mielestäni Firefox-tiimin aloite on loistava, koska hämärtyneellä koodilla varustetuissa laajennuksissa voi olla haitallista koodia ja ne voivat olla vakoojaohjelmia, ja Linux-selaimen tasolla tämä on hyvin hämmentynyt, koska emme ole tottuneet käsittelemään virustentorjuntaohjelmia tai muita tämäntyyppisiä herkkuja eikä siksi, että linuxia käytettäessä emme enää ole haitallisten sovellusten tai laajennusten uhreja, jotka voivat saada jopa kriittisiä tietoja, kuten salasanoja tai luottokorttinumeroita. On myös surullista, että Firefox-tiimin hyvä työ voi pilata epäilyttävän koodin laajennukset. Aiemmin minulla oli jo joitain ongelmia havaita automaattista toimintaa, kun lähetin tietoja selaushistoriastani ilman suostumustani, ja ohjain myös sivuille, joita en ollut kutsunut tai google-hauissa, jättäen minulle sponsoroituja linkkejä, joilla ei ollut mitään tekemistä sen kanssa. mitä etsin.

    Vastaa Rafalle
  2.   Johannes dijo
    sitten 5 vuotta

    En ole Linux, mutta ensivaikutelma on, että "säätöjen" vuoksi käyttäjän on vaikea käyttää vaihtoehtoja, jotka antavat käyttäjälle turvallisuutta tai tietoa selaamisen aikana. On vaikea edes määritellä starpage-vaihtoehtoa hakukoneena. Eikö FF kuulu Googlen käsiin ??

    Vastaa Juanille
  3.   David dijo
    sitten 5 vuotta

    No, ohjelmoinnin tietämättömyydestäni olen Juanin kanssa; mainosten estäjät estävät invasiivisten mainosten lisäksi myös piilotettuja linkkejä, loputtoman pop-up-roskapostimainonnan, ... Kaikki turvallisuuden parantaminen ovat hyödyllisiä, mutta miksi et varoitusta tietystä laajennuksesta ja anna sinun päättää, tekeekö sinä estää tai ei? Virustentorjuntatunnisteeni on estetty (jota en olisi maksanut, jos en luota siihen), ja nyt minun on pakko selata ilman sitä edes Windowsissa. Se tuntuu minulta hieman paternalistiselta asennolta navigaattorille, joka väittää olevansa itsenäinen, ja sellainen. Tai ehkä on muita piilotettuja kiinnostuksen kohteita kuin koodit, joita heidän väitetään välttävän

    Vastaa Davidille