出于安全考虑,Mozilla 将删除火狐浏览器中的侧加载扩展方法
Mozilla 公司表示计划停止支持有助于在火狐浏览器中安装扩展的三种方法中的一种。
从明年开始,火狐用户将无法通过在用户 Firefox 目录内一个特殊文件夹中放置一个 XPI 扩展的方式安装扩展。
这个将不被支持的方法是侧加载,创建它最初的作用是协助桌面应用的开发人员。如果开发人员想要通过自己的桌面 app 分发火狐扩展,那么他们就能够配置该 app 的安装程序,将火狐 XPI 扩展文件释放到火狐浏览器的文件夹中。
因滥用而删除侧加载方法
自从火狐浏览器创建早期以来,火狐扩展的开发人员就可以使用这种方法。然而,Mozilla 刚刚宣布称出于安全考虑将计划停止对侧加载扩展的支持。
Mozilla 公司附件社区经理 Caitlin Neiman 表示,“侧加载的扩展常常会为用户带来问题,因为用户并未明确选择安装扩展而且无法从 Add-ons 管理器中删除。过去,这种机制被用于在火狐浏览器中安装恶意软件。”
两个阶段的删除计划
于是,Mozilla公司计划分两个极端在明年删除该功能。
第一个阶段将从2020年2月的Firefox 73 版本开始。Neiman 表示火狐浏览器将继续能够读取侧加载的扩展,但会把它们缓慢地转移到用户 Firefox 资料的正常附件中,并且可从浏览器的 Add-ons 部分获取。
到2020年3月,Mozilla发布Firefox 74 之时计划完全删除侧加载扩展的功能。届时,Mozilla 希望所有被侧加载的扩展将被迁移到用户的 Add-ons部分。
尽管做出了这种删除计划,但 Mozilla 仍然希望清理一些恶意软件作者秘密地背着用户侧加载扩展的火狐安装程序。由于这些扩展现在将会展示在 Add-ons 部分,因此用户将能够删除不必要或者不记得曾安装过的任何扩展。
仍然保留两种加载扩展的方法
另外,Mozilla在博客文章中向扩展开发者通知称,开发者必须更新扩展并且这些扩展必须能够通过另外一种安装机制进行访问。
现在开发者还可以通过其它两种方式分发扩展,用户也可通过这些方法进行安装。
第一种也是最为人熟知的方法是从官方的 addons.mozilla.org (AMO) 门户网站上安装扩展,网站上所列举的扩展都经过 Mozilla 的验证,因此多数扩展相对而言是安全的,尽管安全检查并不能百分百确保能够抓到所有的恶意代码。
第二种方法涉及使用火狐 Add-ons 部分的“InstallAdd-on From File”选项。用户必须手动下载火狐 XPI 扩展文件,访问 Add-ons 部分,之后通过“InstallAdd-on From File”选项在浏览器中加载扩展。该选项通常用户加载必须处理企业环境中敏感企业数据且无法通过 AMO 门户网站分发的扩展。
其实还存在第四种加载扩展的方法,但该方法已于2018年9月删除,即发布Firefox 62 时不再包含。它涉及修改 Windows Registry 键来加载配有火狐安装程序的自定义扩展。由于这种方法也遭恶意软件滥用,因此火狐也决定删除。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。