Mozilla sekarang akan melarang pengecualian kod tersembunyi atau kabur

Darkcrizt

Minit 4

Firefox dan privasi

Mozilla telah memberi amaran mengenai pengetatan peraturan katalog pemalam untuk Firefox (Mozilla AMO) untuk mengatasi penempatan plugin berbahaya.

Baiklah pada 10 Jun 2019 (tahun semasa), dilarang meletakkan dalam katalog pemalam yang menggunakan kaedah penyamaran, iaitu plugin yang menggunakan kaedah seperti mengemas kod dalam blok Base64 atau kaedah lain.

Pada masa yang sama teknik pengurangan kod (singkatan nama pemboleh ubah dan fungsi, kombinasi fail JavaScript, penghapusan ruang tambahan, komen, baris baru dan pemisah) masih dibenarkan, tetapi jika, selain versi minimum, kod sumber lengkap dilampirkan pada pemalam.

Firefox mengesyorkan pembangun menggunakan teknik penyamaran kod atau pengurangan untuk melepaskan versi baru sebelum 10 Jun yang mematuhi peraturan AMO terkini dan merangkumi kod sumber lengkap untuk semua komponen.

Selepas 10 Jun, pemalam bermasalah akan disekat dalam direktori dan contoh yang sudah dipasang akan dilumpuhkan pada sistem pengguna dengan menyebarkan senarai hitam.

Di samping itu, amalan menyekat sistem yang dipasang pada sistem pengguna dengan alat tambah yang dipasang yang mengandungi kerentanan kritikal, melanggar kerahsiaan, dan mengambil tindakan tanpa persetujuan atau kawalan pengguna akan berterusan.

Mozilla akan mengambil tindakan terhadap mereka yang tidak mengikut peraturan

En umum, pembangun bebas untuk mengekalkan pemalamnya dalam bentuk yang mereka pilih.

Namun, untuk menjaga keselamatan data yang mencukupi dan mengkaji kodnya dengan berkesan, Mozilla memerlukan syarat teknikal tertentu yang mesti dipenuhi oleh semua pemalam.

  • Pemalam hanya boleh meminta kebenaran yang diperlukan untuk peranan tersebut
  • Plugin mesti dilengkapkan sendiri dan tidak memuat naik kod jauh untuk pelaksanaan
  • Pemalam mesti menggunakan saluran yang dienkripsi untuk menghantar data pengguna yang sensitif
  • Pemalam harus dielakkan termasuk menyertakan fail pendua atau tidak perlu
  • Kod tambahan hendaklah ditulis dengan cara yang dapat dikaji dan difahami. Pengulas mungkin meminta anda mengubah semula bahagian kod tersebut jika tidak dapat dikaji semula.
  • Alat tambah tidak boleh menjejaskan prestasi atau kestabilan Firefox.
  • Hanya mengeluarkan versi perpustakaan pihak ketiga dan / atau kerangka yang dapat digabungkan dengan pemalam. Pengubahsuaian pada perpustakaan / kerangka kerja ini tidak dibenarkan.

Bergantung pada sifat pelanggaran dasar, Mozilla akan menggunakan pelbagai jenis kunci.

Dengan "Blok keras", plugin dilumpuhkan di Firefox dan pengguna tidak dapat memintas blok tersebut. Tindakan ini dikhaskan untuk pemalam dengan ciri berikut:

  • Nampaknya mereka sengaja merogol
  • Ia mengandungi kelemahan keselamatan yang kritikal.
  • Mereka menjejaskan privasi pengguna.
  • Mereka melanggar kebenaran atau kawalan pengguna.

Un Soft Software Lock akan mematikan pemalam lalai, tetapi membenarkan pengguna menimpanya dan terus menggunakannya. Kunci ini digunakan untuk alat tambah dengan ciri-ciri berikut:

  • Mereka menyebabkan masalah kestabilan dan prestasi yang serius di Firefox.
  • Ia mengandungi pelanggaran dasar yang tidak kritikal.

The Plugin yang tampak seperti klon, pengulangan, atau salinan tutup pemalam yang sudah terkunci juga akan dikeluarkan.

Sekiranya masalah hanya mempengaruhi subset versi, kunci dapat digunakan khusus untuk versi yang terkena. Plugin yang mengandungi kod tersembunyi atau tidak dapat dibaca juga akan disekat.

"Apabila kami memutuskan untuk menyekat plugin, kami dapat menghubungi pengembang jika kami merasa masalahnya dapat diselesaikan.

Oleh kerana keselamatan pengguna mungkin dipertaruhkan, kami meminta pembangun untuk bertindak balas dalam masa tiga hari. Sekiranya respons tidak diterima dalam jangka masa ini atau jika pembangun tidak dapat menyelesaikan masalahnya, kami dapat meneruskan penguncian.

"Secara umum, kami tidak akan menghubungi pemaju sebelum menyekat sekiranya pemalam tersebut ternyata sengaja melanggar dasar kami atau jika pelanggaran itu cukup serius."

Kata Mozilla bahawa strategi itu dirancang untuk membantu anda menangani pelanjutan berbahaya dengan lebih baik:

"Apabila kami memutuskan untuk menyekat add-on di Firefox, kami tertanya-tanya apakah risikonya sedemikian sehingga melebihi pilihan Pengguna mesti memasang perisian, utiliti yang disediakannya, serta kebebasan pengembang untuk menyebarkan dan mengawal perisian mereka. "Sekiranya kita berada dalam situasi di mana kita tidak dapat membuat keputusan yang jelas, kita akan mencari keselamatan untuk melindungi pengguna."

Fuente: https://developer.mozilla.org


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   Rafa kata
    membuat 5 tahun

    Inisiatif pasukan firefox nampaknya bagus bagi saya kerana peluasan dengan kod yang disamarkan boleh mempunyai kod jahat dan menjadi perisian pengintip dan pada tahap penyemak imbas di linux, ini sangat kacau kerana kita TIDAK terbiasa menangani antivirus atau kebaikan lain dari jenis ini dan bukan kerana menggunakan linux, kita tidak lagi menjadi mangsa aplikasi atau sambungan berbahaya yang bahkan dapat memperoleh data kritikal seperti kata laluan atau nombor kad kredit. Ia juga menyedihkan bahawa pekerjaan yang baik di pihak pasukan firefox dapat dicemari oleh peluasan kod yang meragukan. Pada masa lalu, saya sudah menghadapi beberapa masalah dengan memerhatikan aktiviti automatik menghantar data dari sejarah penyemakan imbas saya tanpa persetujuan saya, dan juga mengalihkan ke halaman yang tidak saya ajukan atau dalam carian google meninggalkan pautan tajaan yang tidak ada kaitan dengannya. apa yang saya cari.

    Balas Rafa
  2.   John kata
    membuat 5 tahun

    Saya bukan Linux, tetapi kesan pertama adalah bahawa "penyesuaian" menyukarkan pengguna untuk menggunakan pilihan yang memberi keselamatan atau pengetahuan kepada pengguna semasa melayari. Walaupun sukar untuk menentukan halaman utama sebagai mesin pencari alternatif. Bukankah FF jatuh ke tangan Google ??

    Balas Juan
  3.   David kata
    membuat 5 tahun

    baiklah, dari kejahilan saya tentang pengaturcaraan, saya bersama Juan; penyekat iklan, selain iklan invasif, juga menyekat pautan tersembunyi, iklan spam pop timbul yang tidak terhingga, ... Sebarang peningkatan dari segi keselamatan bermanfaat, tetapi mengapa tidak ada peringatan mengenai peluasan tertentu dan membiarkan anda memutuskan apakah anda menyekat atau tidak? Sambungan antivirus saya telah disekat, (yang tidak akan saya bayar sekiranya saya tidak mempercayainya), dan sekarang saya terpaksa melayari tanpanya walaupun di tingkap. Nampaknya saya agak paternalistik untuk menjadi pelayar yang mengaku bebas, dan seperti itu. Atau mungkin ada kepentingan lain yang tersembunyi seperti kod yang mereka dakwa untuk dielakkan

    Balas David