Mozilla gaat schadelijke Firefox add-ons aanpakken

[Captain Kirk]

Mozilla heeft een plan aangekondigd waarmee de browserontwikkelaar schadelijke Firefox add-ons wil aanpakken. Eén van de sterke kanten van Firefox is de mogelijkheid om uitbreidingen te ondersteunen. Uitbreidingen die zowel via Mozilla's eigen website addons.mozilla.org (AMO) als andere kanalen kunnen worden verspreid. Dit geeft ontwikkelaars veel flexibiliteit en mogelijkheden, maar biedt ook rotte appels een kans.

"We zijn verantwoordelijk voor ons add-ons ecosysteem en kunnen niet aan de zijkant blijven toekijken als onze gebruikers door kwaadaardige add-ons worden getroffen", zegt Mozilla's Jorge Villalobos. Het gaat dan om uitbreidingen die advertenties injecteren of scripts op sociale netwerksites uitvoeren. Mozilla hanteert wel richtlijnen, maar de kwaadaardige extensies houden zich daar niet aan en worden meestal buiten het kanaal van Mozilla verspreid. Mozilla heeft wel de mogelijkheid om deze add-ons te blokkeren, maar het vinden ervan wordt steeds onpraktischer. Villalobos merkt op dat Mozilla net als Google alleen add-ons via het eigen kanaal aan zou kunnen bieden, maar dat is een te gemakkelijke optie.

Daarom is er nu een ander plan aangekondigd waarbij voortaan alleen nog gesigneerde add-ons worden geaccepteerd. Alle add-ons op AMO zullen automatisch worden gesigneerd. Extensies die via andere kanalen worden aangeboden moeten eerst via AMO worden gecontroleerd en gesigneerd. Add-ons die niet door de automatische controle heenkomen kunnen een handmatige check aanvragen. Er zal een overgangsfase plaatsvinden waarbij ongesigneerde apps gedurende een periode van 12 weken een waarschuwing zullen geven. Daarna zal het niet meer mogelijk zijn om deze extensies te installeren.

Om ontwikkelaars nog enige vrijheid te geven zal het wel mogelijk worden om ongesigneerde extensies in vroege testversies van Firefox te installeren. Uiteindelijk moet de maatregel ervoor zorgen dat extensies die volledig gecontroleerd en gesigneerd zijn eenvoudiger en gebruikersvriendelijker kunnen worden geïnstalleerd, ongeacht waar ze worden aangeboden. Het plan is nu om de overgangsfase in het tweede kwartaal van dit jaar te starten, wat inhoudt dat de extensiewaarschuwingen waarschijnlijk in Firefox 39 zullen verschijnen.

 

bron: security.nl