作者Kitakami (北上)
看板Browsers
标题[新闻] Firefox安全升级:Mozilla祭出扩充套件
时间Fri Feb 13 16:52:00 2015
Firefox安全升级:Mozilla祭出扩充套件签章
为了改善Firefox附加元件的安全性,Mozilla针对扩充套件(Extension)祭出了认证服
务。以後不论是出现在AMO(addons.mozilla.org)或是其他网站上的Firefox扩充套件,
都必须经过Mozilla的检验并取得认证签章後才能安装在正式版(Release Version)或测
试版(Beta Version)的Firefox上。
Firefox的附加元件(Add-ons)分成几个类别,分别是扩充套件(Extensions)、主题(
Themes)或字典(dictionaries)等,而此一数位签章则是锁定扩充套件,主题或字典则
不需经过认证。
Mozilla附加元件团队成员Jorge Villalobos表示,Mozilla的附加元件平台一向非常开放
,允许开发人员打造各种创新的浏览器附加功能,而且开发人员可以自由选择要透过由
Mozilla代管、集中各种附加元件的AMO平台,或是其他网站发行扩充程式,但建立弹性的
同时也给恶意开发人员带来了机会。
不肖扩充套件显然越来越普遍,例如未经使用者授权就擅改浏览器首页或搜寻设定,虽然
Mozilla已为此建立附加元件准则,但不遵守规则的扩充套件仍然四处流窜,恶意开发人
员也寻求各种方法来躲避Mozilla的追踪,以免於被列人Mozilla的黑名单中。避免恶意扩
充套件最简单的方法之一就是强制要求开发人员透过AMO发行程式,不过Mozilla认为没必
要限制这麽多,因此决定采行扩充套件认证签章机制。
未来透过AMO发行的扩充套件都会经过审核与认证,而打算利用其他网站发行的扩充套件
也必须先提交到AMO进行审核及颁布签章。不论是审核或签章的颁布,都是经由自动化的
程序,若有疑问也可提出手动审核的请求。只有取得签章的扩充套件可以安装在正式版或
测试版的Firefox中,而诸如Nightly或Developer Edition等其他供开发人员使用的
Firefox版本则仍可安装未经认证的扩充套件。
此一机制预计会在今年第二季实施,估计将首度现身於Firefox 39。根据Mozilla的
Firefox版本规画,将於今年2月底释出Firefox 39的Nightly版,开发人员版可望於4月出
炉,而测试版与正式版的问世时间分别在5月及6月。此外,扩充套件签章预计会有12周的
缓冲期,在这期间,Mozilla只会针对未经认证的扩充套件提出警告,还不会完全封杀没
有取得签章的扩充套件。(编译/陈晓莉)
iThome
http://www.ithome.com.tw/news/94077
------------------
简单来说就是多了一道提示安装...对吧?
--
新しい北上、それがあたし。 ▁▁
▕様北▏
酸素鱼雷を満载して、ちょっと大人になったでしょ。 ▕印上▏
 ̄ ̄
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.248.220.146
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1423817523.A.44C.html
1F:推 Kreen: 这样认证会更慢吗= = 02/13 16:58
2F:→ mjsg: AMO 上只要 review 过的都自动签章,现有看过的套件最新版也 02/13 17:52
3F:→ mjsg: 自动签章,看起来影响最大的是那些不放在 AMO 上的档案。 02/13 17:53
4F:推 Kreen: 原来如此,感谢解答~ 02/13 18:03
5F:→ Unicorn2: 走下坡了... 02/13 22:13
6F:推 mayuyu: 囧兴 02/13 22:13
7F:→ Alica: HTTPS Everywhere崩溃 02/13 23:26
8F:→ Wcw5504: 再弄严一点就变第二个GC 不在AMO上的不准装 02/13 23:56
9F:推 Luciferspear: ......惨了XD 手上有几个手势拖拉死很久但还能用的 02/14 08:56
10F:→ mayuyu: 有够惨 除了拖曳扩展 还有一些很好用的扩展 02/14 10:18
11F:→ mayuyu: 都没有放在AMO上 而且也都死很久了 根本不晓得 02/14 10:18
12F:→ mayuyu: 作者会不会去申请审核 例如userChromeJS 02/14 10:18
13F:→ mayuyu: 这个实在太强大了 根本无所不能 02/14 10:19
14F:→ mayuyu: 还有keyconfig 和firegestures一样 可以自己写脚本 02/14 10:19
15F:→ mayuyu: 按快速键就可以执行 一个是滑鼠手势 一个是热键 02/14 10:19
16F:→ mayuyu: 所有对浏览器的操作(例如一键关闭右边全部分页)、 02/14 10:19
17F:→ mayuyu: 扩展的操作(例如同文堂开关简转繁)、还有网页的操作 02/14 10:19
18F:→ mayuyu: (例如点击网页上的按钮) 全部都可以用热键完成 02/14 10:20
19F:→ mayuyu: 就是因为有这些扩展 firefox才会这麽好用 02/14 10:20
20F:→ mayuyu: 现在已经今非昔比了 在市占率下降的现在很多扩展都 02/14 10:20
21F:→ mayuyu: 已经停止更新了 还搞扩大审查的话等於是自杀行为 囧 02/14 10:20
22F:→ mjsg: 我是觉得,这个功能可以推出,附带个在 about:config 可以关 02/14 10:58
23F:→ mjsg: 掉这功能的指令,然後看市场反应。毕竟 Mozilla 要解决的问 02/14 10:59
24F:→ mjsg: 题目前也没有好方法。 02/14 10:59
25F:→ mjsg: 但总是要选一步,而不能裹足不前。 02/14 11:00
26F:→ mjsg: 前述的方式,对於知道自己在做什麽的自己负责,而那些绝大部 02/14 11:01
27F:→ mjsg: 部份不能自己负责,只会怪罪浏览器开发者的帮你把关。 02/14 11:02
28F:→ mayuyu: Mozilla就是说不会提供禁用选项让使用者 02/14 11:33
29F:→ mayuyu: 安装未审查的扩展 囧 所以没得选 02/14 11:33
30F:→ mayuyu: There won’t be any preferences or 02/14 11:33
31F:→ mayuyu: command line options to disable this. 02/14 11:33
32F:推 rockmanx52: AMO那种审核速度... 02/14 11:33
33F:→ rockmanx52: 扣除Drag&go Ank pixiv之前也因为Fx改版造成无法下载 02/14 11:34
35F:→ mayuyu: userChromeJS废掉的话我的搬移扩展工具按钮 02/14 11:34
36F:→ mayuyu: 还有自动翻页还有自动灌水xD等等 一堆功能都会失效 02/14 11:34
37F:→ rockmanx52: 作者也是说修正版丢上去好久但是AMO都没动静... 02/14 11:34
38F:→ mayuyu: 对啊 虽然第一阶段是自动化审查 02/14 11:36
39F:→ mayuyu: 但我想还是会很多需要人工审查 AMO应该先招募一批 02/14 11:37
40F:→ mayuyu: 审查志愿军吧 不然以现在蜗牛的审查速度..... 02/14 11:37
41F:推 ettoolong: AMO现在的审查速度比以前快很多了, 以前我等过一个月, 02/14 16:42
42F:→ ettoolong: 现在大多只要两三天. 02/14 16:43
43F:→ mmis1000: 感觉一定会有人出套件patch掉,或直接出一个自己的fork 02/14 17:57
44F:→ mmis1000: 这种限制除了恼人我真的不觉得有用 02/14 17:57
45F:→ mmis1000: chrome限制那麽多,现在还是一 堆malware 阿 02/14 17:58
46F:→ Wcw5504: 反正我都用社群版,应该没什麽影响 02/14 19:05
47F:推 shyangs: pcx会做 revert, 他用了破百个套件,包含了非AMO的套件. 02/14 19:13
48F:→ kuro: 如果firefox改成闭源才会让人崩溃,开源总是有高人在。 02/14 19:16
49F:推 brli7848: 他只说在release频道,我猜应该是有编译设置可以开关 02/15 01:00
50F:推 timshan: 影响的是beta和Release,Alpha和Nightly不受影响 02/15 12:48
51F:→ Wcw5504: Alpha是什麽版本 Aurora吗 02/15 23:38
52F:推 timshan: 靠打错 是Aurora XDD 02/16 00:11
53F:推 wuliou: WTF? 我不想跳chrome就是因为装套件太罗唆啊 02/18 00:35
54F:→ hsparrot: 未经使用者授权就擅改套件安装准则 02/18 13:52
55F:→ hsparrot: 结果原来Mozilla才是最大的恶意开发组织 02/18 13:53