[新聞] Firefox安全升級:Mozilla祭出擴充套件

作者: Kitakami (在妳身上揉來揉去)   2015-02-13 16:52:00
Firefox安全升級:Mozilla祭出擴充套件簽章
為了改善Firefox附加元件的安全性,Mozilla針對擴充套件(Extension)祭出了認證服
務。以後不論是出現在AMO(addons.mozilla.org)或是其他網站上的Firefox擴充套件,
都必須經過Mozilla的檢驗並取得認證簽章後才能安裝在正式版(Release Version)或測
試版(Beta Version)的Firefox上。
Firefox的附加元件(Add-ons)分成幾個類別,分別是擴充套件(Extensions)、主題(
Themes)或字典(dictionaries)等,而此一數位簽章則是鎖定擴充套件,主題或字典則
不需經過認證。
Mozilla附加元件團隊成員Jorge Villalobos表示,Mozilla的附加元件平台一向非常開放
,允許開發人員打造各種創新的瀏覽器附加功能,而且開發人員可以自由選擇要透過由
Mozilla代管、集中各種附加元件的AMO平台,或是其他網站發行擴充程式,但建立彈性的
同時也給惡意開發人員帶來了機會。
不肖擴充套件顯然越來越普遍,例如未經使用者授權就擅改瀏覽器首頁或搜尋設定,雖然
Mozilla已為此建立附加元件準則,但不遵守規則的擴充套件仍然四處流竄,惡意開發人
員也尋求各種方法來躲避Mozilla的追蹤,以免於被列人Mozilla的黑名單中。避免惡意擴
充套件最簡單的方法之一就是強制要求開發人員透過AMO發行程式,不過Mozilla認為沒必
要限制這麼多,因此決定採行擴充套件認證簽章機制。
未來透過AMO發行的擴充套件都會經過審核與認證,而打算利用其他網站發行的擴充套件
也必須先提交到AMO進行審核及頒布簽章。不論是審核或簽章的頒布,都是經由自動化的
程序,若有疑問也可提出手動審核的請求。只有取得簽章的擴充套件可以安裝在正式版或
測試版的Firefox中,而諸如Nightly或Developer Edition等其他供開發人員使用的
Firefox版本則仍可安裝未經認證的擴充套件。
此一機制預計會在今年第二季實施,估計將首度現身於Firefox 39。根據Mozilla的
Firefox版本規畫,將於今年2月底釋出Firefox 39的Nightly版,開發人員版可望於4月出
爐,而測試版與正式版的問世時間分別在5月及6月。此外,擴充套件簽章預計會有12周的
緩衝期,在這期間,Mozilla只會針對未經認證的擴充套件提出警告,還不會完全封殺沒
有取得簽章的擴充套件。(編譯/陳曉莉)
iThome
http://www.ithome.com.tw/news/94077
作者: Kreen (每天要更優秀一點)   2015-02-13 16:58:00
這樣認證會更慢嗎= =
作者: mjsg (mjsg)   2015-02-13 17:52:00
AMO 上只要 review 過的都自動簽章,現有看過的套件最新版也自動簽章,看起來影響最大的是那些不放在 AMO 上的檔案。
作者: Kreen (每天要更優秀一點)   2015-02-13 18:03:00
原來如此,感謝解答~
作者: Unicorn2   2015-02-13 22:13:00
走下坡了...
作者: mayuyu ((・ω・)ノ)   2015-02-13 22:13:00
囧興
作者: Alica (Torsades de Pointes)   2015-02-13 23:26:00
HTTPS Everywhere崩潰
作者: Wcw5504 (五月雨)   2015-02-13 23:56:00
再弄嚴一點就變第二個GC 不在AMO上的不準裝
作者: Luciferspear   2015-02-14 08:56:00
......慘了XD 手上有幾個手勢拖拉死很久但還能用的
作者: mayuyu ((・ω・)ノ)   2015-02-14 10:18:00
有夠慘 除了拖曳擴展 還有一些很好用的擴展都沒有放在AMO上 而且也都死很久了 根本不曉得作者會不會去申請審核 例如userChromeJS這個實在太強大了 根本無所不能還有keyconfig 和firegestures一樣 可以自己寫腳本按快速鍵就可以執行 一個是滑鼠手勢 一個是熱鍵所有對瀏覽器的操作(例如一鍵關閉右邊全部分頁)、擴展的操作(例如同文堂開關簡轉繁)、還有網頁的操作(例如點擊網頁上的按鈕) 全部都可以用熱鍵完成就是因為有這些擴展 firefox才會這麼好用現在已經今非昔比了 在市佔率下降的現在很多擴展都已經停止更新了 還搞擴大審查的話等於是自殺行為 囧
作者: mjsg (mjsg)   2015-02-14 10:58:00
我是覺得,這個功能可以推出,附帶個在 about:config 可以關掉這功能的指令,然後看市場反應。畢竟 Mozilla 要解決的問題目前也沒有好方法。但總是要選一步,而不能裹足不前。前述的方式,對於知道自己在做什麼的自己負責,而那些絕大部部份不能自己負責,只會怪罪瀏覽器開發者的幫你把關。
作者: mayuyu ((・ω・)ノ)   2015-02-14 11:33:00
Mozilla就是說不會提供禁用選項讓使用者安裝未審查的擴展 囧 所以沒得選There won’t be any preferences orcommand line options to disable this.
作者: rockmanx52 (ゴミ丼 わがんりんにゃれ)   2015-02-14 11:33:00
AMO那種審核速度...扣除Drag&go Ank pixiv之前也因為Fx改版造成無法下載
作者: mayuyu ((・ω・)ノ)   2015-02-14 11:34:00
原文 http://ppt.cc/44qz 不知道去反應有沒有用userChromeJS廢掉的話我的搬移擴展工具按鈕還有自動翻頁還有自動灌水xD等等 一堆功能都會失效
作者: rockmanx52 (ゴミ丼 わがんりんにゃれ)   2015-02-14 11:34:00
作者也是說修正版丟上去好久但是AMO都沒動靜...
作者: mayuyu ((・ω・)ノ)   2015-02-14 11:36:00
對啊 雖然第一階段是自動化審查但我想還是會很多需要人工審查 AMO應該先招募一批審查志願軍吧 不然以現在蝸牛的審查速度.....
作者: ettoolong (ettoolong)   2015-02-14 16:42:00
AMO現在的審查速度比以前快很多了, 以前我等過一個月,現在大多只要兩三天.
作者: mmis1000 (秋月戀楓)   2015-02-14 17:57:00
感覺一定會有人出套件patch掉,或直接出一個自己的fork這種限制除了惱人我真的不覺得有用chrome限制那麼多,現在還是一 堆malware 阿
作者: Wcw5504 (五月雨)   2015-02-14 19:05:00
反正我都用社群版,應該沒什麼影響
作者: shyangs (厚呦)   2015-02-14 19:13:00
pcx會做 revert, 他用了破百個套件,包含了非AMO的套件.
作者: kuro (支那啃民黨 凸 ̄▽ ̄凸)   2015-02-14 19:16:00
如果firefox改成閉源才會讓人崩潰,開源總是有高人在。
作者: brli7848 (無理阿?)   2015-02-15 01:00:00
他只說在release頻道,我猜應該是有編譯設置可以開關
作者: timshan (仲軒)   2015-02-15 12:48:00
影響的是beta和Release,Alpha和Nightly不受影響
作者: Wcw5504 (五月雨)   2015-02-15 23:38:00
Alpha是什麼版本 Aurora嗎
作者: timshan (仲軒)   2015-02-16 00:11:00
靠打錯 是Aurora XDD
作者: wuliou (wuliou)   2015-02-18 00:35:00
WTF? 我不想跳chrome就是因為裝套件太囉唆啊
作者: hsparrot (飛高高)   2015-02-18 13:52:00
未經使用者授權就擅改套件安裝準則結果原來Mozilla才是最大的惡意開發組織

Links booklink

Contact Us: admin [ a t ] ucptt.com