Mozilla va désormais interdire les exemptions de code cachées ou obscurcies

Firefox et la confidentialité

Mozilla a mis en garde contre le resserrement des règles du catalogue de plugins pour Firefox (Mozilla AMO) pour contrer le placement de plugins malveillants.

Pour au 10 juin 2019 (année actuelle), il sera interdit de placer dans le catalogue plugins qui utilisent des méthodes d'obfuscation, c'est-à-dire des plugins qui utilisent des méthodes telles que le conditionnement du code dans des blocs Base64 ou d'autres méthodes.

En même temps, techniques de minimisation de code (abréviation des noms de variables et de fonctions, combinaison de fichiers JavaScript, suppression d'espaces supplémentaires, commentaires, retours à la ligne et séparateurs) sont toujours autorisés, mais si, en plus de la version réduite, le code source complet est attaché au plugin.

Firefox recommande aux développeurs d'utiliser des techniques d'obscurcissement du code ou de minimisation pour sortir une nouvelle version avant le 10 juin conforme aux règles AMO à jour et comprend le code source complet de tous les composants.

Après le 10 juin, les plugins problématiques seront bloqués dans le répertoire et les instances déjà installées seront désactivées sur les systèmes des utilisateurs en distribuant la liste noire.

En outre, la pratique consistant à bloquer les systèmes installés sur les systèmes des utilisateurs avec des modules complémentaires installés contenant des vulnérabilités critiques, violant la confidentialité et prenant des mesures sans le consentement ou le contrôle de l'utilisateur se poursuivra.

Mozilla prendra des mesures contre ceux qui ne respectent pas les règles

En général, les développeurs sont libres de maintenir leurs plugins sous la forme qu'ils choisissent.

Cependant, pour maintenir une sécurité des données adéquate et réviser efficacement le code, Mozilla nécessite certaines exigences techniques auxquelles tous les plugins doivent répondre.

  • Les plugins ne doivent demander que les autorisations nécessaires pour le rôle
  • Les plugins doivent être autonomes et ne pas télécharger de code distant pour exécution
  • Les plugins doivent utiliser des canaux cryptés pour envoyer des données utilisateur sensibles
  • Les plugins doivent éviter d'inclure des fichiers en double ou inutiles
  • Le code supplémentaire doit être rédigé de manière à être révisable et compréhensible. Les réviseurs peuvent vous demander de refactoriser des parties du code s'il n'est pas révisable.
  • Les modules complémentaires ne doivent pas nuire aux performances ou à la stabilité de Firefox.
  • Seules les versions de publication de bibliothèques et / ou de frameworks tiers peuvent être regroupées avec un plugin. Les modifications de ces bibliothèques / frameworks ne sont pas autorisées.

En fonction de la nature de la violation du règlement, Mozilla utilisera différents types de verrous.

Avec un "Hard block", le plugin est désactivé dans Firefox et les utilisateurs ne peuvent pas contourner le blocage. Cette action est réservée aux plugins présentant les caractéristiques suivantes:

  • Il semble qu'ils violent intentionnellement
  • Ils contiennent des vulnérabilités de sécurité critiques.
  • Ils compromettent la vie privée des utilisateurs.
  • Ils contournent gravement le consentement ou le contrôle de l'utilisateur.

Un Soft Software Lock désactivera un plugin par défaut, mais permettra à l'utilisateur de le remplacer et de continuer à l'utiliser. Ce verrou est utilisé pour les modules complémentaires présentant les caractéristiques suivantes:

  • Ils causent de sérieux problèmes de stabilité et de performances dans Firefox.
  • Ils contiennent des violations de politique non critiques.

Les Les plugins qui semblent être des clones, des répétitions ou des copies fermées de plugins déjà verrouillés seront également supprimés.

Si un problème affecte uniquement un sous-ensemble de versions, le verrou peut être appliqué spécifiquement aux versions concernées. Les plugins contenant du code caché ou illisible seront également bloqués.

«Lorsque nous décidons de bloquer un plugin, nous pouvons contacter le développeur si nous pensons que le problème peut être résolu.

La sécurité des utilisateurs pouvant être en jeu, nous demandons aux développeurs de répondre dans les trois jours. Si aucune réponse n'est reçue dans ce délai ou si le développeur ne peut pas résoudre le problème, nous pouvons procéder au verrouillage.

"Plus généralement, nous ne contacterons pas les développeurs avant de bloquer si le plugin s'avère intentionnellement enfreindre nos politiques ou si la violation est suffisamment grave."

Mozilla a dit que la stratégie a été conçue pour vous aider à mieux gérer les extensions malveillantes:

«Quand on décide de bloquer un add-on dans Firefox, on se demande si le risque est tel qu'il dépasse le choix de L'utilisateur doit installer le logiciel, l'utilitaire qu'il fournit, ainsi que la liberté du développeur de distribuer et de contrôler leur logiciel. "Si nous nous trouvons dans une situation où nous ne pouvons pas prendre une décision claire, nous rechercherons la sécurité pour protéger l'utilisateur."

source: https://developer.mozilla.org


Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

3 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Rafa dit

    Je pense que l'initiative de l'équipe de Firefox est excellente car les extensions avec du code obscurci peuvent avoir du code malveillant et être des logiciels espions et au niveau du navigateur sous Linux, c'est très foiré car nous ne sommes PAS habitués à traiter avec des antivirus ou d'autres subtilités de ce type et non pas parce qu'en utilisant Linux, nous ne sommes plus victimes d'applications ou d'extensions malveillantes qui peuvent même obtenir des données critiques telles que des mots de passe ou des numéros de carte de crédit. Il est également triste qu'un bon travail de la part de l'équipe de Firefox puisse être gâché par des extensions de code douteux. Dans le passé, j'avais déjà eu des problèmes pour observer l'activité automatique d'envoi de données de mon historique de navigation sans mon consentement, et aussi pour rediriger vers des pages que je n'avais pas invoquées ou dans des recherches Google me laissant des liens sponsorisés qui n'avaient rien à voir avec cela. Avec ce que je cherchais.

  2.   Jean dit

    Je ne suis pas Linux, mais la première impression est que les "ajustements" font qu'il est difficile pour l'utilisateur d'utiliser des options qui donnent sécurité ou connaissance à l'utilisateur lors de la navigation. Il est même difficile de définir starpage comme un moteur de recherche alternatif. FF ne tombe-t-il pas entre les mains de Google?

  3.   David dit

    eh bien, de mon ignorance de la programmation, je suis avec Juan; les bloqueurs de publicités, en plus des publicités invasives, bloquent également les liens cachés, les pop-up publicitaires infinis, ... Toute amélioration en termes de sécurité est bénéfique, mais pourquoi pas un avertissement sur l'extension spécifique et vous laisse décider si bloquer ou pas? Mon extension antivirus a été bloquée (ce que je n'aurais pas payé si je ne lui faisais pas confiance), et maintenant je suis obligé de naviguer sans elle même sous Windows. Cela me semble un peu paternaliste pour un navigateur qui prétend être indépendant, etc. Ou peut-être qu'il y a d'autres intérêts aussi cachés que les codes qu'ils prétendent éviter