De ontwikkelaar van de populaire Firefox-extensie NoScript, Giorgio Maone, stelt dat zijn creatie geen beveiligingsrisico is en hekelt een nieuwsbericht waarin het tegenovergestelde wordt beweerd. Aanleiding voor het bericht is recent gepubliceerd beveiligingsonderzoek naar Firefox-extensies en add-ons.
Daaruit blijkt dat een kwaadaardige add-on, die door Mozilla is goedgekeurd en door de gebruiker zelf is geïnstalleerd, andere geïnstalleerde add-ons voor malafide doeleinden kan gebruiken om zo zelf onopgemerkt te blijven. De onderzoekers ontdekten dat onder andere NoScript door zo'n kwaadaardige add-on kan worden gebruikt. Firefox NoScript is een populaire uitbreiding die allerlei scripts op pagina's blokkeert, wat tracking en drive by download-aanvallen kan voorkomen. Veel beveiligingsexperts adviseren de extensie dan ook.
Website Digital Trends berichtte over het onderzoek en stelde dat populaire extensies zoals NoScript de computer kwetsbaar voor malware en beveiligingslekken maken. "Je kunt ook zeggen dat je Microsoft Office moet verwijderen omdat je morgen een virus kunt installeren dat de automatiseringsinterface van Word gebruikt om zichzelf te verspreiden", aldus Maone. "Het is sensatie en een FUD-verhaal, dat op zo'n onzorgvuldige wijze wordt verslagen dat het nu zeer moeilijk is om de perceptie van gebruikers te veranderen."
Maone is ook teleurgesteld in de reactie van Mozilla-topman Nick Nguyen, die het verhaal niet ontkracht maar bevestigt en gebruikt om het nieuwe extensiemodel van Firefox aan te prijzen. Het nieuwe extensiemodel is volgens Maone beter maar kan kwaadaardige intenties in een add-on niet voorkomen. "Alleen het getrainde oog van iemand die de code controleert kan het risico wegnemen en dat zorgt ervoor dat addons.mozilla.org zoveel beter is dan andere 'marktplaatsen', ook al is er ruimte voor verbetering", besluit de NoScript-ontwikkelaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.