Mozilla będzie walczyć z niebezpiecznymi wtyczkami

Po incydencie z wtyczką kradnącą hasła, wydawca Firefoxa oznajmia planowane zmiany w procesie akceptacji dodatków do przeglądarki.

Mozilla Sniffer została usunięta ze strony z dodatkami do Firefoxa w poniedziałek, po tym gdy odkryto w niej niebezpieczny kod. Dodatek przechwytywał loginy i hasła wpisywane przez użytkowników, a następnie przesyłał je do zdalnego serwera. Dodatek został natychmiast dodany do czarnej listy, co oznacza że użytkownicy którzy go zainstalowali, przy następnym uruchomieniu przeglądarki, dostaną propozycję odinstalowania go.

Wtyczka została pobrana 1800 razy, a we wtorek miała 334 aktywnych użytkowników. Trzeba przyznać że to sporo, biorąc pod uwagę że była oznaczona jako eksperymentalna - co w praktyce oznacza że została jedynie przeskanowana pod kątem wirusów i trojanów, ale nikt nie zbadał jej kodu.

W poście nt. tego zdarzenia na oficjalnym blogu, Mozilla ogłosiła zmiany w procesie akceptacji dodatków. Nowa procedura spowoduje że dodatki których kod nie został przejrzany pod względem bezpieczeństwa, nie będą w ogóle możliwe do znalezienia (a nie tylko oznaczone jako eksperymentalne jak teraz). To kolejny krok ze stronie Mozilli, po stronie skanującej wtyczki, zmierzające do zredukowania zagrożenia ze strony programów nie będących integralną częścią przeglądarki.

Cały model bezpieczeństwa jest opisany tutaj.

[via TheRegister]

Maciej Starzycki