Pagājušā gada jūlijā mēs norādījām, ka paplašinājums Google Reader Notifier ir kļuvis par crapware, tad NoScript pievienojumprogramma ir aizlauzusi vēl vienu paplašinājumu un pat Fast Dial pagarinājums bija surogātpasta sindicēšana, un tas bija tikai laika jautājums, pirms paplašinājums tika komplektēts ar pilnīgu trojan.
Pēdējo reizi tas bija tik vienkārši kā jūsu pārlūkprogrammā parādītais surogātpasta saite un jūsu vietrāžu vietrāžu URL izsekošana - patiešām satraucoši un ļaunu, bet ne vienmēr ir pasaules galā, jo tā neplāno pārņemt savu datoru.
Two experimental add-ons, Version 4.0 of Sothink Web Video Downloader and all versions of Master Filer were found to contain Trojan code aimed at Windows users. Version 4.0 of Sothink Web Video Downloader contained Win32.LdPinch.gen, and Master Filer contained Win32.Bifrose.32.Bifrose Trojan. Both add-ons have been disabled on AMO.
Ja esat instalējis šos paplašinājumus jebkurā brīdī, datorā ir jāuzlādē pilnīga vīrusu skenēšana.
Rant par Firefox paplašināšanas drošību
Tā vietā, lai atkal pievilinātu, ļaujiet man vienkārši citēt to, ko es teicu pēdējo reizi, kad tas noticis …
What’s to stop yet another Firefox extension from turning into badware, sneaking in tracking codes, or stealing your personal information? It’s already happened with two of the most popular extensions… Somebody at Mozilla needs to do something about this.
Pašreizējais process Mozilā ir palaist automatizētu vīrusu skeneri pret paplašinājumiem, un šīs problēmas rezultātā viņi ir pievienojuši vairāk skenēšanas rīku procesam. Tas neatrisina patieso problēmu, jo jebkura vīrusu programmētājs ar dažām prasmēm var rakstīt pielāgotu vīrusu, kuru nesaņem kāds no komerciālajiem vīrusu skenēšanas rīkiem. Protams, dažiem instrumentiem ir heiristika, kas, iespējams, atklās rootkitus un dažus no nastier tehniskos paņēmienus, taču tā nenovērš jautājumu pilnīgi.
Reālā problēma nav pat tradicionāls vīruss, cik es esmu noraizējies. Cik grūti būtu kādam rakstīt vietējo Firefox paplašinājumu, kas vienkārši aizņem visas jūsu paroles un nosūta tos uz negodīgu vietni? Nav drošības slāņa, lai novērstu pievienojumprogrammu piekļuvi jūsu personiskajai informācijai, kas saglabāta pārlūkprogrammā, un neviens vīrusu skeneris neuzņem vietējo Firefox paplašinājumu, jo tas ir rakstīts Javascript.
Daļējs risinājums
Neviens nav gaidījis, ka Mozilla skenētu ar katra paplašinājuma pirmkodu, kas vienīgi ir pakļauts cilvēka kļūdai. Tomēr būtu saprotams, ka ir daži drošības līmeņi, kas novērš pievienojumprogrammu piekļuvi jebkurai jūsu personiskajai informācijai, kas saglabāta pārlūkprogrammā, ja vien jūs to īpaši nepieļaujat.
Ko jūs varat darīt, lai saglabātu drošību?
Pirms instalēšanas vienmēr pārbaudiet pārskatus par paplašinājumu - neaizmeklējiet kāda cita vārdu, ja tie apliecina paplašinājumu … vispirms pārliecinieties, ka vispirms pārbaudiet lietas. Protams, tas attiecas arī uz jebkuru lietojumprogrammu, protams, ja instalējat lietojumprogrammas, neveicot vīrusu skenēšanu, jūs atstājat sev plašu atklātību, ka dators ir nolaupīts.
Lūdzu, izlasiet: drošības problēma AMO [Mozilla Add-ons blog]