Mozilla ahora prohibirá las exenciones con código oculto u ofuscado

Firefox y la privacidad

Mozilla ha advertido sobre el endurecimiento de las reglas del catálogo de complementos para Firefox ( Mozilla AMO) para contrarrestar la colocación de complementos maliciosos.

Pues a partir del 10 de junio del 2019 (año en curso), estará prohibido colocar en el catálogo complementos que utilicen métodos de ofuscación, es decir complementos que utilicen métodos tales como empaquetar el código en bloques Base64 u otros métodos.

Al mismo tiempo, las técnicas de minimización de código (abreviatura de los nombres de variables y funciones, combinación de archivos JavaScript, eliminación de espacios adicionales, comentarios, saltos de línea y separadores) siguen estando permitidas, pero si, además de la versión minimizada, se adjunta el código fuente completo al complemento.

Firefox recomienda a los desarrolladores que utilicen técnicas de ofuscación o minimización de código que publiquen una nueva versión antes del 10 de junio que cumpla con las reglas actualizadas de AMO e incluya el código fuente completo de todos los componentes.

Después del 10 de junio, los complementos problemáticos se bloquearán en el directorio y las instancias ya instaladas se desactivarán en los sistemas de los usuarios mediante la distribución de la lista negra.

Además, se continuará con la práctica de bloquear los sistemas instalados en los sistemas de los usuarios con complementos instalados que contienen vulnerabilidades críticas, violar la confidencialidad y realizar acciones sin el consentimiento o control del usuario.

Mozilla tomara acciones contra los que no cumplan las reglas

En general, los desarrolladores son libres de mantener sus complementos en la forma que elijan.

Sin embargo, para mantener la seguridad de datos adecuada y revisar efectivamente el código, Mozilla solicita ciertos requisitos técnicos que todos los complementos deben cumplir.

  • Los complementos solo deben solicitar los permisos necesarios para la función
  • Los complementos deben ser autónomos y no cargar código remoto para su ejecución
  • Los complementos deben utilizar canales cifrados para enviar datos confidenciales del usuario
  • Los complementos deben evitar incluir archivos duplicados o innecesarios
  • El código adicional debe escribirse de manera que sea revisable y comprensible. Los revisores pueden pedirle que refactorice partes del código si no es revisable.
  • Los complementos no deben afectar negativamente el rendimiento o la estabilidad de Firefox.
  • Solo las versiones de lanzamiento de bibliotecas y / o marcos de terceros pueden incluirse con un complemento. No se permiten modificaciones a estas bibliotecas / marcos.

Dependiendo de la naturaleza de la violación de la política, Mozilla utilizará diferentes tipos de bloqueos.

Con un “hard block”, el complemento está deshabilitado en Firefox y los usuarios no pueden anular el bloqueo. Esta acción está reservada para complementos con las siguientes características:

  • Parece que están violando intencionalmente
  • Contienen vulnerabilidades críticas de seguridad.
  • Comprometen la privacidad de los usuarios.
  • Eluden severamente el consentimiento o control del usuario.

Un Soft Software Lock deshabilitará un complemento predeterminado, pero permitirá al usuario reemplazarlo y continuar usándolo. Dicho bloqueo se utiliza para complementos con las siguientes características:

  • Causan serios problemas de estabilidad y rendimiento en Firefox.
  • Contienen violaciones de política no críticas.

Los complementos que parecen ser clones, repeticiones o copias cercanas a complementos ya bloqueados también se eliminarán.

Si un problema afecta solo a un subconjunto de versiones, el bloqueo puede aplicarse específicamente a las versiones afectadas. Los complementos que contienen código oculto o ilegible también se bloquearán.

“Cuando decidimos bloquear un complemento, podemos contactar al desarrollador si creemos que el problema se puede resolver.

Como la seguridad del usuario puede estar en juego, pedimos a los desarrolladores que respondan dentro de tres días. Si no se recibe una respuesta dentro de este plazo o si el desarrollador no puede resolver el problema, podemos continuar con el bloqueo.

“Más generalmente, no contactaremos a los desarrolladores antes de bloquear si resulta que el complemento infringe intencionalmente nuestras políticas o si la infracción es lo suficientemente grave”.

Mozilla dijo que la estrategia fue diseñada para ayudarlo a manejar mejor las extensiones maliciosas:

“Cuando decidimos bloquear un complemento en Firefox, nos preguntamos si el riesgo es tal que exceda la elección de El usuario debe instalar el software, la utilidad que proporciona, así como la libertad del desarrollador para distribuir y controlar su software. “Si nos encontramos en una situación en la que no podemos tomar una decisión clara, buscaremos la seguridad para proteger al usuario”.

Fuente: https://developer.mozilla.org


3 comentarios, deja el tuyo

  1.   Rafa dijo

    Me parece genial la iniciativa del equipo de firefox puesto que las extensiones con código ofuscado pueden tener código malicioso y ser spyware y a nivel navegador en linux esto es muy jodido puesto que NO estamos acostumbrados a lidiar con antivirus ni demás lindezas de este tipo y no por usar linux dejamos de ser víctimas de aplicaciones o extensiones maliciosas que incluso pueden hacerse con datos críticos como contraseñas o número de tarjeta de crédito. Además es triste que un buen trabajo por parte del equipo de firefox puede quedar empañado por extensiones de dudoso código. Yo en el pasado ya tuve algunos problemas de observar actividad automática de envío de datos de mi historial de navegación sin mi consentimiento, y también de redirección a páginas que yo no había invocado o en las búsquedas de google saliéndome enlaces patrocinados que nada tenían que ver con lo que yo buscaba.

  2.   Juan dijo

    No soy Linux, pero la primera impresión es que las “adecuaciones” están dificultando al usuario para emplear opciones que den seguridad o conocimiento al usuario durante la navegación. Dificulta incluso definir a starpage como buscador alternativo. No estará FF cayendo en las manos de G o o g l e ??

  3.   David dijo

    bueno, desde mi desconocimiento de programación estoy con Juan; los bloqueadores de anuncios, además de anuncios invasivos también bloquean links ocultos, publicidad spam de ventanas emergentes infinitas,… Toda mejora de cara a la seguridad es beneficiosa, pero, ¿por qué no una advertencia sobre la extensión en concreto y dejarte decidir si la bloqueas o no? Se ha bloqueado la extensión de mi antivirus, (el cual no habría pagado si no confiara en él), y ahora estoy obligado a navegar sin él incluso en windows. Me parece una actitud un poco paternalista para ser un navegador que presume de ser independiente, y tal. O quizás si que haya otros intereses tan ocultos como los códigos que dicen evitar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.