Mozilla теперь запрещает скрытые или скрытые исключения кода.

Firefox и конфиденциальность

Mozilla предупредила об ужесточении правил каталога плагинов для Firefox (Mozilla AMO) для противодействия размещению вредоносных плагинов.

Для по состоянию на 10 июня 2019 г. (текущий год), будет запрещено размещать в каталоге плагины, использующие методы обфускации, то есть плагины, которые используют такие методы, как упаковка кода в блоки Base64 или другие методы.

Al mismo tiempo, методы минимизации кода (сокращение имен переменных и функций, комбинация файлов JavaScript, удаление лишних пробелов, комментариев, новых строк и разделителей) все еще разрешены, но если в дополнение к минимизированной версии к плагину прилагается полный исходный код.

Firefox рекомендует разработчикам использовать методы обфускации или минимизации кода выпустить новую версию до 10 июня который соответствует современным правилам AMO и включает полный исходный код для всех компонентов.

После 10 июня проблемные плагины будут заблокированы. в каталоге и уже установленные экземпляры будут отключены в системах пользователей путем распространения черного списка.

Кроме того, будет продолжена практика блокировки систем, установленных в системах пользователей с установленными надстройками, содержащими критические уязвимости, нарушающими конфиденциальность и предпринимающими действия без согласия или контроля пользователя.

Mozilla примет меры против тех, кто не соблюдает правила

В общем случае, разработчики могут поддерживать свои плагины в той форме, которую они выбирают.

Однако для обеспечения адекватной безопасности данных и эффективного анализа кода, Mozilla требует определенных технических требований, которым должны соответствовать все плагины.

  • Плагины должны запрашивать только необходимые разрешения для роли
  • Плагины должны быть автономными и не загружать удаленный код для выполнения.
  • Плагины должны использовать зашифрованные каналы для отправки конфиденциальных данных пользователя.
  • Плагины не должны включать повторяющиеся или ненужные файлы.
  • Дополнительный код должен быть написан таким образом, чтобы его можно было просматривать и понимать. Рецензенты могут попросить вас провести рефакторинг частей кода, если он не подлежит проверке.
  • Дополнения не должны отрицательно влиять на производительность или стабильность Firefox.
  • Только релизные версии сторонних библиотек и / или фреймворков могут быть связаны с плагином. Модификации этих библиотек / фреймворков не допускаются.

В зависимости от характера нарушения политики, Mozilla будет использовать разные типы блокировок.

С «Жесткая блокировка», плагин отключен в Firefox, и пользователи не могут обойти блокировку.. Это действие зарезервировано для плагинов со следующими характеристиками:

  • Кажется, они намеренно насилуют
  • Они содержат критические уязвимости безопасности.
  • Они ставят под угрозу конфиденциальность пользователей.
  • Они серьезно обходят согласие или контроль пользователя.

Un Soft Software Lock отключит плагин по умолчанию, но позволит пользователю переопределить его и продолжить его использование. Эта блокировка используется для надстроек со следующими характеристиками:

  • Они вызывают серьезные проблемы со стабильностью и производительностью Firefox.
  • Они содержат некритические нарушения правил.

Плагины, которые кажутся клонами, повторами или закрытыми копиями уже заблокированных плагинов, также будут удалены..

Если проблема затрагивает только подмножество версий, блокировку можно применить конкретно к затронутым версиям. Плагины, содержащие скрытый или нечитаемый код, также будут заблокированы.

«Когда мы решаем заблокировать плагин, мы можем связаться с разработчиком, если считаем, что проблема может быть решена.

Поскольку безопасность пользователей может быть поставлена ​​на карту, мы просим разработчиков ответить в течение трех дней. Если ответ не получен в течение этого периода времени или если разработчик не может решить проблему, мы можем продолжить блокировку.

«В целом, мы не будем связываться с разработчиками до блокировки, если выяснится, что плагин намеренно нарушает наши правила или если нарушение достаточно серьезное».

Mozilla сказала что стратегия была разработана, чтобы помочь вам лучше обрабатывать вредоносные расширения:

«Когда мы решаем заблокировать надстройку в Firefox, мы задаемся вопросом, не превышает ли риск того, что он превышает выбор: Пользователь должен установить программное обеспечение, утилиту, которую оно предоставляет, а также свободу разработчика распространять и контролировать их программное обеспечение. «Если мы окажемся в ситуации, когда не сможем принять четкое решение, мы будем искать меры безопасности, чтобы защитить пользователя».

источник: https://developer.mozilla.org


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

3 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Рафа сказал

    Я думаю, что инициатива команды firefox велика, поскольку расширения с обфусцированным кодом могут иметь вредоносный код и быть шпионским ПО, а на уровне браузера в Linux это очень запутано, поскольку мы НЕ привыкли иметь дело с антивирусами или другими тонкостями этого типа. и не потому, что, используя Linux, мы больше не являемся жертвами вредоносных приложений или расширений, которые могут даже получать важные данные, такие как пароли или номера кредитных карт. Также печально, что хорошая работа команды firefox может быть испорчена расширениями сомнительного кода. В прошлом у меня уже были некоторые проблемы с отслеживанием автоматической отправки данных из моей истории просмотров без моего согласия, а также с перенаправлением на страницы, которые я не открывал, или с поиском в Google, оставляя мне спонсируемые ссылки, которые не имели к этому никакого отношения. то, что я искал.

  2.   Хуан сказал

    Я не Linux, но первое впечатление - это то, что «корректировки» затрудняют пользователю использование параметров, которые обеспечивают безопасность или знания пользователю во время просмотра. Starpage сложно даже назвать альтернативной поисковой системой. Разве FF не попадает в руки Google ??

  3.   David сказал

    ну, из-за незнания программирования я с Хуаном; Блокировщики рекламы, в дополнение к агрессивной рекламе, также блокируют скрытые ссылки, бесконечную всплывающую рекламу спама, ... Любое улучшение с точки зрения безопасности полезно, но почему бы не предупредить о конкретном расширении и позволить вам решить, хотите ли вы блокировать или нет? Мое антивирусное расширение было заблокировано (за которое я бы не заплатил, если бы не доверял ему), и теперь я вынужден работать без него даже в Windows. Мне кажется, что это немного патерналистское отношение к мореплавателю, претендующему на независимость, и тому подобное. Или, может быть, есть другие интересы, столь же скрытые, как коды, которых, как они утверждают, избегают

bool (истина)