Utan tvekan en av de mest uppskattade funktionerna av användare i webbläsare är möjligheten att lägga till tilläggoch därigenom utvidga webbläsarens grundläggande funktionalitet för att ge användarna en personlig webbupplevelse.
Även om inte alla användarna som dem på grund av användningen av tillägg, eftersom användningen av dessa ökar dessutom minnesförbrukningen för webbläsaren i systemet det har varit många fall där Jag förlängde dems används ofta för att extrahera användardata.
Och som vi vet, Mozilla under de senaste månaderna har genomfört en ganska strikt politik för tillägg, där det har begränsat användningen av vissa metoder i dem, varav det fokuserar på att förbjuda tillägg med inbäddad kod, eftersom de flesta av dessa tenderar att bädda in skadlig kod.
Enligt Mozilla, tillägg som utvecklats för din webbläsare måste följa strikta riktlinjer och uppfylla tekniska krav för att inte äventyra webbläsarens säkerhet. Bland annat:
- Den ska inte innehålla dold kod.
- Det måste vara autonomt och inte ladda fjärrkod för körning.
- Den bör inte laddas eller omdirigeras till en ny fjärrfliksida. Den nya fliken måste finnas i plugin-programmet.
- Du måste använda krypterade kanaler för att skicka konfidentiell användardata.
- Det bör inte ha en negativ inverkan på prestanda eller stabilitet för Firefox.
- Den ska skrivas på ett sätt som är granskbart och förståeligt. Granskare kan be dig att granska delar av koden om den inte går att granska.
Med detta, Under de senaste två veckorna upptäckte Mozilla-teamet att 197 tillägg från katalogen addons.mozilla.org (AMO) ochkör kod nedladdad från tredje parts webbplatser som överför konfidentiell data till externa servrar, utför skadliga handlingar eller använder metoder för att fördunkla källkoden.
De allra flesta skadliga tillägg som har upptäckts (129 för att vara exakt) De har utvecklats av 2Ring, en B2B-programvaruleverantör.
Dessa plugins togs bort eftersom de laddade ner och körde kod från en extern server (AMO-katalogregler förbjuder dynamisk laddning av körbara delar).
Av samma anledning har sex tillbehör eliminerats från Tamo Conjunto Caixa och tre tillbehör med förfalskningar av kända produkter.
Och ett plugin som heter FromDocToPDF togs bort eftersom det laddade fjärrinnehåll på den nya fliksidan i Firefox.
I förhållande till överföringen av användardata, tilläggen av Rolimons Plus, RoliTrade, Pdfviewer, WeatherPool, Your Social och ett annat tillägg utan ett detaljerat namn. En modul som heter Fake Youtube Downloader togs också bort eftersom den försökte installera annan skadlig kod.
EasySearch för Firefox, EasyZipTab, FlixTab, ConvertToPDF och FlixTab (sökplugin) blockeras från att samla in och överföra information om sökfrågor.
Ytterligare 14 tillägg (namnet anges inte) blockeras för användning av kodförstöringstekniker och 30 tillägg förbjöds också eftersom de uppvisade skadligt beteende på tredjepartswebbplatser.
Tillägg som EasySearch, EasyZipTab, FlixTab, ConvertToPDF och FlixTab Search har förbjudits från Mozilla-plattformen eftersom de samlar in eller avlyssnar söktermer av användarna. WeatherPool och dina sociala tillägg, PDFviewer-verktyg, RoliTrade och Rolimons Plus förbjöds också på grund av deras olagliga insamling av användardata. Andra moduler vars namn inte har exponerats har också tagits bort på grund av den skadliga karaktären som upptäcktes.
Förutom att ta bort nyligen upptäckta skadliga tillägg på din plattform, Mozilla har också inaktiverat dessa tillägg i webbläsare av användare som redan har installerat dem.
På Bugzilla-plattformen, webbläsarens säkerhetsteam rapporterade ID: n för de blockerade eller borttagna pluginsna så att utvecklare av tillbehör kan överklaga förbudet efter att ha tagit bort det skadliga beteendet.
Överklagande har jag redan gjort utvecklaren av Like4Like-tillägget, eftersom det också hade blockerats på grund av insamling eller presentation av referenser eller tokens från sociala nätverkswebbplatser till en annan webbplats, men överklagandeprocessen lyckades och är återigen tillgänglig på Firefox-tilläggsplattformen.
utmärkt ... så hjälper implementeringen av sekretesspolicy användarna.