A kiegészítők miatt nem biztonságos a Firefox?

A Stratis Vezetői és Informatikai Tanácsadó Kft. IT-biztonsági blogjában egy nyári konferencián elhangzott előadásra próbálja felhívni a figyelmet - a Security Assessment által tartott előadás a Mozilla népszerű böngészőjének kiegészítőkelésében rejlő komoly veszélyekre figyelmeztet. A szakértők állítása szerint a Firefox különböző kiterjesztései gyakorlatilag kontroll nélkül futnak a böngészőben, ami egyrészt a pluginekben található biztonsági rések kihasználásával veszélyezteti a számítógép biztonságát, de akár maga a fejlesztő is elhelyezhet kártékony kódot a programban.

Szakértők szerint aggályos, hogy a felhasználó sok esetben nem kap semmiféle visszajelzést arról, hogy a böngészőjében futó add-on a pontosan mit is csinál, milyen http-kéréseket ad ki, ráadásul a kiegészítők viszonylag egyszerűen tudják módosítani egymás kódjait. Szintén problémás lehet, hogy a kiegészítők engedélyezési procedúrája során gyakorlatilag nincs semmiféle kódminőségi ellenőrzés - állítják a szakemberek. Bár az adatbázisba kerülés előtt validálják a kódot, ez azonban alapesetben csak egyszer történik meg, így utólag akár teljesen újra lehet írni, illetve bele lehet csempészni kártékony részleteket - a változtatás felett tehát már nincs semmiféle kontroll.

A megszokott biztonsági figyelmeztetés telepítés előtt

A böngészőkiegészítők jelentette növekvő biztonsági kockázattal ma már a Mozillánál is komolyan számolnak, ahogy a letöltött pluginek száma immár jóval túlhaladta az egymilliárdot. A Firefox fejlesztői nemrég a Microsoft automatikusan települő böngészőkiegészítőjét tiltotta le ideiglenesen biztonsági kockázatra hivatkozva, valamint nemrég az Adobe Flash Player frissítésére is figyelmeztette felhasználóit.

A Mozilla október elején egy olyan oldalt is elindított, mely a telepített böngészőkiegészítők aktualitását ellenőrzi, illetve felhívja a figyelmet arra, ha egy kiegészítő régen lett frissítve, így óhatatlanul biztonsági kockázatot jelent.