Mozilla警告过收紧插件目录规则 用于Firefox(Mozilla AMO) 以抵消恶意插件的放置。
好 截至10年2019月XNUMX日 (今年), 它将被禁止放置 在目录中 使用混淆方法的插件, 也就是说,使用诸如将代码打包在Base64块中的方法之类的插件或其他方法。
与此同时, 代码最小化技术 (变量名和函数名的缩写,JavaScript文件的组合,删除多余的空格,注释,换行符和分隔符) 仍然被允许 但是,除了最小化版本以外,如果完整的源代码已附加到插件中。
火狐 建议开发人员使用代码混淆或最小化技术 在10月XNUMX日之前发布新版本 符合最新的AMO规则,并包含所有组件的完整源代码。
10月XNUMX日之后,有问题的插件将被阻止 目录中的,则将通过分发黑名单在用户的系统上禁用已安装的实例。
此外,将继续执行以下操作:阻止用户使用已安装的包含严重漏洞的附加组件来安装在用户系统上的系统,违反机密性以及未经用户同意或控制而采取措施。
Mozilla将对不遵守规则的人采取行动
在一般情况下, 开发人员可以自由选择以自己选择的形式维护其插件。
但是,为了保持足够的数据安全性并有效地检查代码, Mozilla要求所有插件必须满足的某些技术要求。
- 插件应仅请求角色的必要权限
- 插件必须是自包含的,并且不能上传远程代码以执行
- 插件必须使用加密的通道来发送敏感的用户数据
- 插件应避免包含重复或不必要的文件
- 附加代码应以可审查和可理解的方式编写。 如果不可审阅,审阅者可能会要求您重构部分代码。
- 附件不应对Firefox的性能或稳定性产生不利影响。
- 插件只能捆绑第三方库和/或框架的发行版。 不允许对这些库/框架进行修改。
根据违反政策的性质, Mozilla将使用不同类型的锁。
随着 “硬块”,该插件在Firefox中被禁用,用户无法绕过该块。 此操作保留给具有以下特征的插件:
- 看来他们是故意强奸
- 它们包含严重的安全漏洞。
- 它们损害了用户的隐私。
- 它们严重规避了用户的同意或控制。
Un Soft Software Lock将禁用默认插件,但允许用户覆盖它并继续使用它。 此锁用于具有以下特征的加载项:
- 它们在Firefox中引起严重的稳定性和性能问题。
- 它们包含非关键的策略违规。
MGI 似乎是已锁定插件的克隆,重复或紧密副本的插件也将被删除.
如果问题仅影响版本的子集,则可以将锁定专门应用于受影响的版本。 包含隐藏或不可读代码的插件也将被阻止。
“当我们决定阻止插件时,如果我们认为问题可以解决,我们可以与开发人员联系。
由于可能危及用户安全,因此我们要求开发人员在三天内做出回应。 如果在此时间段内未收到任何响应,或者开发人员无法解决问题,我们可以继续进行锁定。
“更普遍的是,如果插件被发现故意违反了我们的政策或违规行为足够严重,我们将在阻止之前与开发人员联系。”
Mozilla说 该策略旨在帮助您更好地处理恶意扩展:
“当我们决定阻止Firefox中的插件时,我们想知道风险是否超出了用户的选择。用户必须安装软件,其提供的实用程序以及开发人员自由分发和控制的自由。他们的软件。 “如果我们发现自己无法做出明确的决定,我们将寻求安全性来保护用户。”
数据来源: https://developer.mozilla.org
我认为firefox团队的主动性很好,因为带有混淆代码的扩展名可能带有恶意代码并成为间谍软件,而在Linux中的浏览器级别,这非常搞砸了,因为我们不习惯处理防病毒软件或其他此类恶意软件并不是因为使用linux,我们不再是恶意应用程序或扩展程序的受害者,这些应用程序或扩展程序甚至可以保留诸如密码或信用卡号之类的关键数据。 令人遗憾的是,firefox团队的一项出色工作可能会因可疑代码的扩展而受到损害。 过去,在观察未经我同意而从浏览历史记录发送数据的自动活动时,我已经遇到了一些问题,并且还重定向到了我未调用的页面或在google搜索中留下的与我无关的赞助商链接。我一直在寻找。
我不是Linux,但是第一印象是“调整”使用户难以使用在浏览时为用户提供安全性或知识的选项。 甚至很难将星标定义为替代搜索引擎。 FF不会落入Google的手里吗?
好吧,由于我对编程的无知,我和Juan在一起。 除侵入性广告外,广告拦截器还可以拦截隐藏的链接,无限弹出式垃圾邮件广告,...在安全性方面的任何改进都是有益的,但是为什么不对特定扩展名发出警告,让您决定是否执行此操作阻止与否? 我的防病毒扩展程序已被阻止(如果我不信任它,我不会为此付费),现在,即使在Windows上,我也不得不浏览时没有它。 在我看来,成为一名声称独立的导航员有点家长式的态度。 或者也许还有其他利益,如他们声称要避免的代码一样隐藏