Firefox安全升级:Mozilla祭出扩充套件签章
为了改善Firefox附加元件的安全性,Mozilla针对扩充套件(Extension)祭出了认证服
务。以后不论是出现在AMO(addons.mozilla.org)或是其他网站上的Firefox扩充套件,
都必须经过Mozilla的检验并取得认证签章后才能安装在正式版(Release Version)或测
试版(Beta Version)的Firefox上。
Firefox的附加元件(Add-ons)分成几个类别,分别是扩充套件(Extensions)、主题(
Themes)或字典(dictionaries)等,而此一数位签章则是锁定扩充套件,主题或字典则
不需经过认证。
Mozilla附加元件团队成员Jorge Villalobos表示,Mozilla的附加元件平台一向非常开放
,允许开发人员打造各种创新的浏览器附加功能,而且开发人员可以自由选择要透过由
Mozilla代管、集中各种附加元件的AMO平台,或是其他网站发行扩充程式,但建立弹性的
同时也给恶意开发人员带来了机会。
不肖扩充套件显然越来越普遍,例如未经使用者授权就擅改浏览器首页或搜寻设定,虽然
Mozilla已为此建立附加元件准则,但不遵守规则的扩充套件仍然四处流窜,恶意开发人
员也寻求各种方法来躲避Mozilla的追踪,以免于被列人Mozilla的黑名单中。避免恶意扩
充套件最简单的方法之一就是强制要求开发人员透过AMO发行程式,不过Mozilla认为没必
要限制这么多,因此决定采行扩充套件认证签章机制。
未来透过AMO发行的扩充套件都会经过审核与认证,而打算利用其他网站发行的扩充套件
也必须先提交到AMO进行审核及颁布签章。不论是审核或签章的颁布,都是经由自动化的
程序,若有疑问也可提出手动审核的请求。只有取得签章的扩充套件可以安装在正式版或
测试版的Firefox中,而诸如Nightly或Developer Edition等其他供开发人员使用的
Firefox版本则仍可安装未经认证的扩充套件。
此一机制预计会在今年第二季实施,估计将首度现身于Firefox 39。根据Mozilla的
Firefox版本规画,将于今年2月底释出Firefox 39的Nightly版,开发人员版可望于4月出
炉,而测试版与正式版的问世时间分别在5月及6月。此外,扩充套件签章预计会有12周的
缓冲期,在这期间,Mozilla只会针对未经认证的扩充套件提出警告,还不会完全封杀没
有取得签章的扩充套件。(编译/陈晓莉)
iThome
http://www.ithome.com.tw/news/94077