作者Kitakami (北上)
看板Browsers
標題[新聞] Firefox安全升級:Mozilla祭出擴充套件
時間Fri Feb 13 16:52:00 2015
Firefox安全升級:Mozilla祭出擴充套件簽章
為了改善Firefox附加元件的安全性,Mozilla針對擴充套件(Extension)祭出了認證服
務。以後不論是出現在AMO(addons.mozilla.org)或是其他網站上的Firefox擴充套件,
都必須經過Mozilla的檢驗並取得認證簽章後才能安裝在正式版(Release Version)或測
試版(Beta Version)的Firefox上。
Firefox的附加元件(Add-ons)分成幾個類別,分別是擴充套件(Extensions)、主題(
Themes)或字典(dictionaries)等,而此一數位簽章則是鎖定擴充套件,主題或字典則
不需經過認證。
Mozilla附加元件團隊成員Jorge Villalobos表示,Mozilla的附加元件平台一向非常開放
,允許開發人員打造各種創新的瀏覽器附加功能,而且開發人員可以自由選擇要透過由
Mozilla代管、集中各種附加元件的AMO平台,或是其他網站發行擴充程式,但建立彈性的
同時也給惡意開發人員帶來了機會。
不肖擴充套件顯然越來越普遍,例如未經使用者授權就擅改瀏覽器首頁或搜尋設定,雖然
Mozilla已為此建立附加元件準則,但不遵守規則的擴充套件仍然四處流竄,惡意開發人
員也尋求各種方法來躲避Mozilla的追蹤,以免於被列人Mozilla的黑名單中。避免惡意擴
充套件最簡單的方法之一就是強制要求開發人員透過AMO發行程式,不過Mozilla認為沒必
要限制這麼多,因此決定採行擴充套件認證簽章機制。
未來透過AMO發行的擴充套件都會經過審核與認證,而打算利用其他網站發行的擴充套件
也必須先提交到AMO進行審核及頒布簽章。不論是審核或簽章的頒布,都是經由自動化的
程序,若有疑問也可提出手動審核的請求。只有取得簽章的擴充套件可以安裝在正式版或
測試版的Firefox中,而諸如Nightly或Developer Edition等其他供開發人員使用的
Firefox版本則仍可安裝未經認證的擴充套件。
此一機制預計會在今年第二季實施,估計將首度現身於Firefox 39。根據Mozilla的
Firefox版本規畫,將於今年2月底釋出Firefox 39的Nightly版,開發人員版可望於4月出
爐,而測試版與正式版的問世時間分別在5月及6月。此外,擴充套件簽章預計會有12周的
緩衝期,在這期間,Mozilla只會針對未經認證的擴充套件提出警告,還不會完全封殺沒
有取得簽章的擴充套件。(編譯/陳曉莉)
iThome
http://www.ithome.com.tw/news/94077
------------------
簡單來說就是多了一道提示安裝...對吧?
--
新しい北上、それがあたし。 ▁▁
▕様北▏
酸素魚雷を満載して、ちょっと大人になったでしょ。 ▕印上▏
 ̄ ̄
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.248.220.146
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Browsers/M.1423817523.A.44C.html
1F:推 Kreen: 這樣認證會更慢嗎= = 02/13 16:58
2F:→ mjsg: AMO 上只要 review 過的都自動簽章,現有看過的套件最新版也 02/13 17:52
3F:→ mjsg: 自動簽章,看起來影響最大的是那些不放在 AMO 上的檔案。 02/13 17:53
4F:推 Kreen: 原來如此,感謝解答~ 02/13 18:03
5F:→ Unicorn2: 走下坡了... 02/13 22:13
6F:推 mayuyu: 囧興 02/13 22:13
7F:→ Alica: HTTPS Everywhere崩潰 02/13 23:26
8F:→ Wcw5504: 再弄嚴一點就變第二個GC 不在AMO上的不準裝 02/13 23:56
9F:推 Luciferspear: ......慘了XD 手上有幾個手勢拖拉死很久但還能用的 02/14 08:56
10F:→ mayuyu: 有夠慘 除了拖曳擴展 還有一些很好用的擴展 02/14 10:18
11F:→ mayuyu: 都沒有放在AMO上 而且也都死很久了 根本不曉得 02/14 10:18
12F:→ mayuyu: 作者會不會去申請審核 例如userChromeJS 02/14 10:18
13F:→ mayuyu: 這個實在太強大了 根本無所不能 02/14 10:19
14F:→ mayuyu: 還有keyconfig 和firegestures一樣 可以自己寫腳本 02/14 10:19
15F:→ mayuyu: 按快速鍵就可以執行 一個是滑鼠手勢 一個是熱鍵 02/14 10:19
16F:→ mayuyu: 所有對瀏覽器的操作(例如一鍵關閉右邊全部分頁)、 02/14 10:19
17F:→ mayuyu: 擴展的操作(例如同文堂開關簡轉繁)、還有網頁的操作 02/14 10:19
18F:→ mayuyu: (例如點擊網頁上的按鈕) 全部都可以用熱鍵完成 02/14 10:20
19F:→ mayuyu: 就是因為有這些擴展 firefox才會這麼好用 02/14 10:20
20F:→ mayuyu: 現在已經今非昔比了 在市佔率下降的現在很多擴展都 02/14 10:20
21F:→ mayuyu: 已經停止更新了 還搞擴大審查的話等於是自殺行為 囧 02/14 10:20
22F:→ mjsg: 我是覺得,這個功能可以推出,附帶個在 about:config 可以關 02/14 10:58
23F:→ mjsg: 掉這功能的指令,然後看市場反應。畢竟 Mozilla 要解決的問 02/14 10:59
24F:→ mjsg: 題目前也沒有好方法。 02/14 10:59
25F:→ mjsg: 但總是要選一步,而不能裹足不前。 02/14 11:00
26F:→ mjsg: 前述的方式,對於知道自己在做什麼的自己負責,而那些絕大部 02/14 11:01
27F:→ mjsg: 部份不能自己負責,只會怪罪瀏覽器開發者的幫你把關。 02/14 11:02
28F:→ mayuyu: Mozilla就是說不會提供禁用選項讓使用者 02/14 11:33
29F:→ mayuyu: 安裝未審查的擴展 囧 所以沒得選 02/14 11:33
30F:→ mayuyu: There won’t be any preferences or 02/14 11:33
31F:→ mayuyu: command line options to disable this. 02/14 11:33
32F:推 rockmanx52: AMO那種審核速度... 02/14 11:33
33F:→ rockmanx52: 扣除Drag&go Ank pixiv之前也因為Fx改版造成無法下載 02/14 11:34
35F:→ mayuyu: userChromeJS廢掉的話我的搬移擴展工具按鈕 02/14 11:34
36F:→ mayuyu: 還有自動翻頁還有自動灌水xD等等 一堆功能都會失效 02/14 11:34
37F:→ rockmanx52: 作者也是說修正版丟上去好久但是AMO都沒動靜... 02/14 11:34
38F:→ mayuyu: 對啊 雖然第一階段是自動化審查 02/14 11:36
39F:→ mayuyu: 但我想還是會很多需要人工審查 AMO應該先招募一批 02/14 11:37
40F:→ mayuyu: 審查志願軍吧 不然以現在蝸牛的審查速度..... 02/14 11:37
41F:推 ettoolong: AMO現在的審查速度比以前快很多了, 以前我等過一個月, 02/14 16:42
42F:→ ettoolong: 現在大多只要兩三天. 02/14 16:43
43F:→ mmis1000: 感覺一定會有人出套件patch掉,或直接出一個自己的fork 02/14 17:57
44F:→ mmis1000: 這種限制除了惱人我真的不覺得有用 02/14 17:57
45F:→ mmis1000: chrome限制那麼多,現在還是一 堆malware 阿 02/14 17:58
46F:→ Wcw5504: 反正我都用社群版,應該沒什麼影響 02/14 19:05
47F:推 shyangs: pcx會做 revert, 他用了破百個套件,包含了非AMO的套件. 02/14 19:13
48F:→ kuro: 如果firefox改成閉源才會讓人崩潰,開源總是有高人在。 02/14 19:16
49F:推 brli7848: 他只說在release頻道,我猜應該是有編譯設置可以開關 02/15 01:00
50F:推 timshan: 影響的是beta和Release,Alpha和Nightly不受影響 02/15 12:48
51F:→ Wcw5504: Alpha是什麼版本 Aurora嗎 02/15 23:38
52F:推 timshan: 靠打錯 是Aurora XDD 02/16 00:11
53F:推 wuliou: WTF? 我不想跳chrome就是因為裝套件太囉唆啊 02/18 00:35
54F:→ hsparrot: 未經使用者授權就擅改套件安裝準則 02/18 13:52
55F:→ hsparrot: 結果原來Mozilla才是最大的惡意開發組織 02/18 13:53