Szerző: Koi Tamás

2009. november 25. 11:56

A kiegészítők miatt nem biztonságos a Firefox?

Egyik legnagyobb előnye, nevezetesen a rugalmas bővíthetőség válhat a Mozilla Firefox projektjének legnagyobb hátrányává is a jövőben - hívják fel a figyelmet biztonsági szakemberek.

A Stratis Vezetői és Informatikai Tanácsadó Kft. IT-biztonsági blogjában egy nyári konferencián elhangzott előadásra próbálja felhívni a figyelmet - a Security Assessment által tartott előadás a Mozilla népszerű böngészőjének kiegészítőkelésében rejlő komoly veszélyekre figyelmeztet. A szakértők állítása szerint a Firefox különböző kiterjesztései gyakorlatilag kontroll nélkül futnak a böngészőben, ami egyrészt a pluginekben található biztonsági rések kihasználásával veszélyezteti a számítógép biztonságát, de akár maga a fejlesztő is elhelyezhet kártékony kódot a programban.

Szakértők szerint aggályos, hogy a felhasználó sok esetben nem kap semmiféle visszajelzést arról, hogy a böngészőjében futó add-on a pontosan mit is csinál, milyen http-kéréseket ad ki, ráadásul a kiegészítők viszonylag egyszerűen tudják módosítani egymás kódjait. Szintén problémás lehet, hogy a kiegészítők engedélyezési procedúrája során gyakorlatilag nincs semmiféle kódminőségi ellenőrzés - állítják a szakemberek. Bár az adatbázisba kerülés előtt validálják a kódot, ez azonban alapesetben csak egyszer történik meg, így utólag akár teljesen újra lehet írni, illetve bele lehet csempészni kártékony részleteket - a változtatás felett tehát már nincs semmiféle kontroll.

\"\"
A megszokott biztonsági figyelmeztetés telepítés előtt

A böngészőkiegészítők jelentette növekvő biztonsági kockázattal ma már a Mozillánál is komolyan számolnak, ahogy a letöltött pluginek száma immár jóval túlhaladta az egymilliárdot. A Firefox fejlesztői nemrég a Microsoft automatikusan települő böngészőkiegészítőjét tiltotta le ideiglenesen biztonsági kockázatra hivatkozva, valamint nemrég az Adobe Flash Player frissítésére is figyelmeztette felhasználóit.

A Mozilla október elején egy olyan oldalt is elindított, mely a telepített böngészőkiegészítők aktualitását ellenőrzi, illetve felhívja a figyelmet arra, ha egy kiegészítő régen lett frissítve, így óhatatlanul biztonsági kockázatot jelent.

A nyári leállás után, szeptember 29-30-án az Amazon felhőszolgáltatása és a microservicek témája köré épülő meetupokkal indul újra a HWSW free! meetup-sorozat.

a címlapról

Hirdetés

AWS és microservice meetupokkal kezdjük az őszt!

2021. szeptember 16. 21:29

A nyári leállás után, szeptember 29-30-án az Amazon felhőszolgáltatása és a microservicek témája köré épülő meetupokkal indul újra a HWSW free! meetup-sorozat.