Firefox安全升級:Mozilla祭出擴充套件簽章
為了改善Firefox附加元件的安全性,Mozilla針對擴充套件(Extension)祭出了認證服
務。以後不論是出現在AMO(addons.mozilla.org)或是其他網站上的Firefox擴充套件,
都必須經過Mozilla的檢驗並取得認證簽章後才能安裝在正式版(Release Version)或測
試版(Beta Version)的Firefox上。
Firefox的附加元件(Add-ons)分成幾個類別,分別是擴充套件(Extensions)、主題(
Themes)或字典(dictionaries)等,而此一數位簽章則是鎖定擴充套件,主題或字典則
不需經過認證。
Mozilla附加元件團隊成員Jorge Villalobos表示,Mozilla的附加元件平台一向非常開放
,允許開發人員打造各種創新的瀏覽器附加功能,而且開發人員可以自由選擇要透過由
Mozilla代管、集中各種附加元件的AMO平台,或是其他網站發行擴充程式,但建立彈性的
同時也給惡意開發人員帶來了機會。
不肖擴充套件顯然越來越普遍,例如未經使用者授權就擅改瀏覽器首頁或搜尋設定,雖然
Mozilla已為此建立附加元件準則,但不遵守規則的擴充套件仍然四處流竄,惡意開發人
員也尋求各種方法來躲避Mozilla的追蹤,以免於被列人Mozilla的黑名單中。避免惡意擴
充套件最簡單的方法之一就是強制要求開發人員透過AMO發行程式,不過Mozilla認為沒必
要限制這麼多,因此決定採行擴充套件認證簽章機制。
未來透過AMO發行的擴充套件都會經過審核與認證,而打算利用其他網站發行的擴充套件
也必須先提交到AMO進行審核及頒布簽章。不論是審核或簽章的頒布,都是經由自動化的
程序,若有疑問也可提出手動審核的請求。只有取得簽章的擴充套件可以安裝在正式版或
測試版的Firefox中,而諸如Nightly或Developer Edition等其他供開發人員使用的
Firefox版本則仍可安裝未經認證的擴充套件。
此一機制預計會在今年第二季實施,估計將首度現身於Firefox 39。根據Mozilla的
Firefox版本規畫,將於今年2月底釋出Firefox 39的Nightly版,開發人員版可望於4月出
爐,而測試版與正式版的問世時間分別在5月及6月。此外,擴充套件簽章預計會有12周的
緩衝期,在這期間,Mozilla只會針對未經認證的擴充套件提出警告,還不會完全封殺沒
有取得簽章的擴充套件。(編譯/陳曉莉)
iThome
http://www.ithome.com.tw/news/94077