[新聞] Firefox安全升級：Mozilla祭出擴充套件

作者Kitakami (北上)

看板Browsers

標題[新聞] Firefox安全升級：Mozilla祭出擴充套件

時間Fri Feb 13 16:52:00 2015

Firefox安全升級：Mozilla祭出擴充套件簽章為了改善Firefox附加元件的安全性，Mozilla針對擴充套件（Extension）祭出了認證服務。以後不論是出現在AMO（addons.mozilla.org）或是其他網站上的Firefox擴充套件，都必須經過Mozilla的檢驗並取得認證簽章後才能安裝在正式版（Release Version）或測試版（Beta Version）的Firefox上。 Firefox的附加元件（Add-ons）分成幾個類別，分別是擴充套件（Extensions）、主題（ Themes）或字典（dictionaries）等，而此一數位簽章則是鎖定擴充套件，主題或字典則不需經過認證。 Mozilla附加元件團隊成員Jorge Villalobos表示，Mozilla的附加元件平台一向非常開放，允許開發人員打造各種創新的瀏覽器附加功能，而且開發人員可以自由選擇要透過由 Mozilla代管、集中各種附加元件的AMO平台，或是其他網站發行擴充程式，但建立彈性的同時也給惡意開發人員帶來了機會。不肖擴充套件顯然越來越普遍，例如未經使用者授權就擅改瀏覽器首頁或搜尋設定，雖然 Mozilla已為此建立附加元件準則，但不遵守規則的擴充套件仍然四處流竄，惡意開發人員也尋求各種方法來躲避Mozilla的追蹤，以免於被列人Mozilla的黑名單中。避免惡意擴充套件最簡單的方法之一就是強制要求開發人員透過AMO發行程式，不過Mozilla認為沒必要限制這麼多，因此決定採行擴充套件認證簽章機制。未來透過AMO發行的擴充套件都會經過審核與認證，而打算利用其他網站發行的擴充套件也必須先提交到AMO進行審核及頒布簽章。不論是審核或簽章的頒布，都是經由自動化的程序，若有疑問也可提出手動審核的請求。只有取得簽章的擴充套件可以安裝在正式版或測試版的Firefox中，而諸如Nightly或Developer Edition等其他供開發人員使用的 Firefox版本則仍可安裝未經認證的擴充套件。此一機制預計會在今年第二季實施，估計將首度現身於Firefox 39。根據Mozilla的 Firefox版本規畫，將於今年2月底釋出Firefox 39的Nightly版，開發人員版可望於4月出爐，而測試版與正式版的問世時間分別在5月及6月。此外，擴充套件簽章預計會有12周的緩衝期，在這期間，Mozilla只會針對未經認證的擴充套件提出警告，還不會完全封殺沒有取得簽章的擴充套件。（編譯/陳曉莉） iThome http://www.ithome.com.tw/news/94077 ------------------ 簡單來說就是多了一道提示安裝...對吧? -- 新しい北上、それがあたし。 ▁▁ ▕様北▏ 酸素魚雷を満載して、ちょっと大人になったでしょ。 ▕印上▏ ￣￣ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.248.220.146 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1423817523.A.44C.html

推 Kreen: 這樣認證會更慢嗎= = 02/13 16:58

→ mjsg: AMO 上只要 review 過的都自動簽章，現有看過的套件最新版也 02/13 17:52

→ mjsg: 自動簽章，看起來影響最大的是那些不放在 AMO 上的檔案。 02/13 17:53

推 Kreen: 原來如此，感謝解答～ 02/13 18:03

→ Unicorn2: 走下坡了... 02/13 22:13

推 mayuyu: 囧興 02/13 22:13

→ Alica: HTTPS Everywhere崩潰 02/13 23:26

→ Wcw5504: 再弄嚴一點就變第二個GC 不在AMO上的不準裝 02/13 23:56

推 Luciferspear: ......慘了XD 手上有幾個手勢拖拉死很久但還能用的 02/14 08:56

→ mayuyu: 有夠慘除了拖曳擴展還有一些很好用的擴展 02/14 10:18

→ mayuyu: 都沒有放在AMO上而且也都死很久了根本不曉得 02/14 10:18

→ mayuyu: 作者會不會去申請審核例如userChromeJS 02/14 10:18

→ mayuyu: 這個實在太強大了根本無所不能 02/14 10:19

→ mayuyu: 還有keyconfig 和firegestures一樣可以自己寫腳本 02/14 10:19

→ mayuyu: 按快速鍵就可以執行一個是滑鼠手勢一個是熱鍵 02/14 10:19

→ mayuyu: 所有對瀏覽器的操作(例如一鍵關閉右邊全部分頁)、 02/14 10:19

→ mayuyu: 擴展的操作(例如同文堂開關簡轉繁)、還有網頁的操作 02/14 10:19

→ mayuyu: (例如點擊網頁上的按鈕) 全部都可以用熱鍵完成 02/14 10:20

→ mayuyu: 就是因為有這些擴展 firefox才會這麼好用 02/14 10:20

→ mayuyu: 現在已經今非昔比了在市佔率下降的現在很多擴展都 02/14 10:20

→ mayuyu: 已經停止更新了還搞擴大審查的話等於是自殺行為囧 02/14 10:20

→ mjsg: 我是覺得，這個功能可以推出，附帶個在 about:config 可以關 02/14 10:58

→ mjsg: 掉這功能的指令，然後看市場反應。畢竟 Mozilla 要解決的問 02/14 10:59

→ mjsg: 題目前也沒有好方法。 02/14 10:59

→ mjsg: 但總是要選一步，而不能裹足不前。 02/14 11:00

→ mjsg: 前述的方式，對於知道自己在做什麼的自己負責，而那些絕大部 02/14 11:01

→ mjsg: 部份不能自己負責，只會怪罪瀏覽器開發者的幫你把關。 02/14 11:02

→ mayuyu: Mozilla就是說不會提供禁用選項讓使用者 02/14 11:33

→ mayuyu: 安裝未審查的擴展囧所以沒得選 02/14 11:33

→ mayuyu: There won’t be any preferences or 02/14 11:33

→ mayuyu: command line options to disable this. 02/14 11:33

推 rockmanx52: AMO那種審核速度... 02/14 11:33

→ rockmanx52: 扣除Drag&go Ank pixiv之前也因為Fx改版造成無法下載 02/14 11:34

→ mayuyu: 原文 http://ppt.cc/44qz 不知道去反應有沒有用 02/14 11:34

→ mayuyu: userChromeJS廢掉的話我的搬移擴展工具按鈕 02/14 11:34

→ mayuyu: 還有自動翻頁還有自動灌水xD等等一堆功能都會失效 02/14 11:34

→ rockmanx52: 作者也是說修正版丟上去好久但是AMO都沒動靜... 02/14 11:34

→ mayuyu: 對啊雖然第一階段是自動化審查 02/14 11:36

→ mayuyu: 但我想還是會很多需要人工審查 AMO應該先招募一批 02/14 11:37

→ mayuyu: 審查志願軍吧不然以現在蝸牛的審查速度..... 02/14 11:37

推 ettoolong: AMO現在的審查速度比以前快很多了, 以前我等過一個月, 02/14 16:42

→ ettoolong: 現在大多只要兩三天. 02/14 16:43

→ mmis1000: 感覺一定會有人出套件patch掉，或直接出一個自己的fork 02/14 17:57

→ mmis1000: 這種限制除了惱人我真的不覺得有用 02/14 17:57

→ mmis1000: chrome限制那麼多，現在還是一堆malware 阿 02/14 17:58

→ Wcw5504: 反正我都用社群版，應該沒什麼影響 02/14 19:05

推 shyangs: pcx會做 revert, 他用了破百個套件，包含了非AMO的套件. 02/14 19:13

→ kuro: 如果firefox改成閉源才會讓人崩潰，開源總是有高人在。 02/14 19:16

推 brli7848: 他只說在release頻道，我猜應該是有編譯設置可以開關 02/15 01:00

推 timshan: 影響的是beta和Release，Alpha和Nightly不受影響 02/15 12:48

→ Wcw5504: Alpha是什麼版本 Aurora嗎 02/15 23:38

推 timshan: 靠打錯是Aurora XDD 02/16 00:11

推 wuliou: WTF? 我不想跳chrome就是因為裝套件太囉唆啊 02/18 00:35

→ hsparrot: 未經使用者授權就擅改套件安裝準則 02/18 13:52

→ hsparrot: 結果原來Mozilla才是最大的惡意開發組織 02/18 13:53