image

Mozilla verbiedt Firefox-extensies met geobfusceerde code

vrijdag 3 mei 2019, 09:58 door Redactie, 3 reacties
Laatst bijgewerkt: 03-05-2019, 12:10

Mozilla heeft een nieuwe maatregel aangekondigd om Firefoxgebruikers tegen malafide extensies te beschermen. Vanaf 10 juni worden Firefox-extensies met geobfusceerde code niet meer toegestaan. Tevens gaat Mozilla proactiever extensies blokkeren als ze de regels overtreden.

Dat laat de opensourcebrowserontwikkelaar in een blogpost weten. Door het obfusceren van code is het lastiger voor Mozilla om precies te bepalen wat een extensie doet. Malafide ontwikkelaars kunnen zo de kwaadaardige werking van hun extensie verbergen. Om dit risico te voorkomen zijn extensies met geobfusceerde code straks verboden. Voor extensies die op dit moment van geobfusceerde code gebruikmaken moet voor 10 juni een nieuwe versie zijn aangeboden, anders zal Mozilla de extensie bij gebruikers blokkeren.

Mozilla laat daarnaast weten dat het proactiever extensies gaat blokkeren die de regels overtreden. Bij het bepalen of een extensie moet worden geblokkeerd zal Mozilla daarbij eerder de kant kiezen om gebruikers te beschermen. Tevens herhaalt Mozilla dat het extensies blijft blokkeren die opzettelijk het beleid negeren, ernstige kwetsbaarheden bevatten of de privacy van gebruikers schenden. Gisteren kwam Mozilla met de aankondiging van de maatregelen. Op dezelfde dag werden zes Firefox-extensies geblokkeerd.

Reacties (3)
03-05-2019, 13:25 door Anoniem
Zo had ik op een bepaald moment een fijne extensie, die niet langer ondersteund werd in Firefox noch op chromium, namelijk Malware Script Detector. Een gedeelte van de functionaliteit was ook te vinden in de Netcraft extensie,
maar niet alles. De oorspronkelijke extensie was van d0ubl3_h3lix <http://yehg.co.nr>, maar is voor browsers niet meer beschikbaar.

Het wordt dus steeds moeilijker om je favoriete extensies te kunnen draaien. Dat is het wegnemen van de "right to tinker" in belang van degenen, die geen geavanceerde gebruikers zijn. De wat ik noem "happy go lucky clicker met weinig inzicht wat er via Ctrl+Shift+I in zijn webdeveloper consooltje uit te vogelen valt". Die ook geen retire.js als extensie draait of uMatrix juist weet te toggelen om narigheid naar beste weten uit de browser weg te houden. Leer en blokkeer!

Ik moest er wat op vinden om deze scan-add-on toch te kunnen draaien en gelukkig kreeg ik hem geinstalleerd onder Tampermonkey van Jan Biniok. Ik zie dus nu netjes een waarschuwing als een site een gevaarlijk of kwaardaardig script huist met aanduiding van dat script - bijvoorbeeld static/js/lib bij een online DOM XSS scanner - "Unexpected strict mode" valt later daar weer op als errorr.

Obfuscatie kan ook weer tweeledig worden toegepast, ter bescherming van de code (dat is een goede intentie), maar ook om kwalijke functionaliteit te obfusceren (letterlijk verbergen, dat leunt tegen cybercrimineel gedrag). Dus er moet wel degelijk gekeken worden wat goede en slechte geobfusceerde code is. Nu denkt men vaak: "Oh, obfuscatie, potentieel gevaarlijk - roets weg, maar dat is alle extensie-kinderen met het badwater weggooien". De goeden moeten weer eens met de kwaden lijden en veel beloven en weinig geven, doet de online gek steeds in vreugde leven.

Wie vinden hier nog meer dat het vrije internet in deze opzichten steeds meer aan banden wordt gelegd door een kinderachtige bescherming van Jan en Jet Onbenul?

Daarom start ik malzilla weer eens op, daarvan draai ik een eigen versie om redirects op te sporen en deze malcode onderzoeksbrowser draait helemaal in een eigen zandbak. Malzilla-original is gebouwd door Bobby, heeft decoders, analyzers, hex representaties, kortom te veel om op te noemen voor de malware onderzoeker een zandbak-browsertje om te zoenen, mensen.

luntrus
04-05-2019, 06:10 door Anoniem
Voor wie merkt dat alle addons niet meer werken en zich afvraagt of Mozilla met deze wijziging geblunderd heeft: nee, het is veroorzaakt door een geëxpireerd certificaat.
https://bugzilla.mozilla.org/show_bug.cgi?id=1548973
https://discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047
04-05-2019, 11:12 door Anoniem
Het lijkt me dat het beter zou zijn geweest als Mozilla eerst de ontwikkelaars tijd had gegeven om hun extensies aan te passen zodat gebruikers niet ineens worden geconfronteerd met allemaal extensies die plotsklaps niet meer werken.
Zo heb ik tijden moeten zoeken naar wat er nou eigenlijk aan de hand was want ik was er niet van op de hoogte dar er iets dergelijks stond te gebeuren.
Al met al laat Mozilla hier toch demagogische trekjes zien want ik heb in al die jaren dat ik bijvoorbeeld Adblocker Plus gebruik nog nooit enig probleem gezien. Noch met enige andere extensie die ik dagelijks gebruik.
De manier waarop men nu met 'veiligheid' omgaat lijkt totaal doorschoten.
Ze zouden hun motto: "gemaakt voor mensen en niet voor geld" beter kunnen veranderen in "gemaakt voor schapen en niet voor zelf denkende mensen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.