首页 未命名正文

Firefox新增安全机制:附加组件签名机制

根据Net MarketShare数据显示,2016年8月Firefox浏览器占据全球市场份额7.69%,仅次于Chrome和IE,排名第三。Firefox是流行的浏览器,所以,Firefox浏览器开发人员在其安全性方面做了哪些努力?下面,作者将详细介绍Firefox浏览器新安全机制—为了帮助用户更好地理解和使用附加组件签名机制Firefox。

历史版本

自从2002年Firefox自诞生以来,其版本更新非常快,图1显示了其稳定版本的更新。截至2016年9月23日,***稳定版本是49.0.1。

图1Firefox历史版本

附加组件签名机制

1、附加组件是什么?

附加组件是一种个性化的 Firefox 的应用程序,包括扩展、外观、插件、服务等类型,可通过在Firefox中访问地址about:addons查看(如图2所示)。

图2Firefox附加组件

然而,一切都有两面性。附加组件不仅为用户提供了便利,而且还带来了一定的风险。例如,一些附加组件会篡改浏览器设置或窃取用户信息,而另一些组件会在网页上注入广告。这种情况现在越来越普遍。因此,必须采取措施更好地管理附加组件。

2、附加组件的黑名单

为更好地保障用户安全,Mozilla黑名单列表维护了附加组件,已知会导致 Firefox附加组件(扩展、主题和插件)的稳定性或安全性或安全性问题“阻挡列表”(Blocklist,如图3所示)。

图3

附加组件的黑名单系统阻碍了许多恶意附加组件,但仍存在一些问题,如:如何保证新附加组件的安全?如何保证第三方附加组件的安全?等等,附加组件的签名机制出现在历史时刻。

3、附件组件签名机制

为更好地管理附加组件,Mozilla 根据一套安全标准验证附加组件“签名”,需要签名的类型包括扩展。接下来,作者将讨论签名机制是如何工作的Firefox中发展的。

3.1 标记阶段

Firefox 40版本起(Firefox 40 – 42)未签名的扩展将被标记,图4显示Firefox 40中提示用户扩展Youdao Word Capturer未通过Firefox的验证。

图4 Firefox40提示用户未签名扩展

此时,如果用户选择禁止此扩展,则将成为图5所示的情况:

图5Firefox40中国用户禁止未签名扩展

这可以防止一些恶意扩展,但需要用户的合作,即用户需要手动禁止未签名的扩展,这无疑是用户的安全意识和用户对Firefox熟悉度要求高。

3.2 禁用阶段

从Firefox 43版本起(Firefox 43 – 47)未签名的扩展将直接禁止,图6显示Firefox 47中未签名的扩展将直接展Youdao Word Capturer禁止。与图5和图6相比,最明显的区别是Firefox43未签名扩展不能直接从界面上启用。

图6 Firefox 47禁止未签名扩展

此时,Firefox默认情况下,未签名的扩展将被禁止,而且没有“启用”与选项相比Firefox40 – 42版的标记 *** 将大大提高附加组件的安全性。然而,这是万无一失的吗?

强制关闭附加组件签名机制

虽然从43版开始Firefox未签名的扩展被禁止,但对于Firefox43 -47用户可以修改版本Firefox默认配置强制关闭签名机制。

手动关闭Firefox的签名机制

如图7所示,在Firefox地址栏访问“about:config”,点击“我保证要小心”双击进入用户个人配置界面“xpinstall.signatures.required”将其设置为“false”(默认情况为true),签名机制此时关闭。

图7用户被迫关闭Firefox附加组件签名机制

修改Firefox关闭签名机制的配置文件

以Windows以 7为例,在路径上“C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\”( 路径xxxxxxxx.default是安装Firefox浏览器随机生成user profile identifier)找到用户配置的文件prefs.js,根据其格式添加句子“user_pref(“xpinstall.signatures.required”,false);”签名机制可以强制关闭。

Firefox签名机制被强行关闭后,检查扩展情况,发现未签名的扩展只会标记为启用状态(与Firefox 40 – 42版本相似),如图8所示,但功能正常,给黑客机会。

图8强行关闭Firefox 47附加组件签名机制后

无加载阶段禁用

从Firefox 48版开始,未签名的扩展将被禁用,不再加载。换句话说,即使修改了Firefox默认配置(即将“xpinstall.signatures.required”设置为“false”),如图9所示,未签名的扩展总是被禁止的。

图9 Firefox48.0.1中“xpinstall.signatures.required”为“false”状态下

未签名的扩展仍被禁止

然而,作者在Firefox扩展默认的安装路径下(C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\extensions)如图10所示,的程序包,如图10所示。这还有一定的风险吗?作者的能力有限,未能探索其中的奥秘。我希望所有伟大的上帝都能给我一些建议。

图10 禁用的扩展包仍然存在

总结

Firefox浏览器的附加组件机制极大地丰富了其功能,提高了用户的浏览体验,但也存在一系列的安全问题。Mozilla维护附加组件黑名单,逐步增加附加组件签名机制,强制禁止未签名扩展,提高附加组件安全性。然而,这并不意味着它可以***确保用户安全。用户还应提高个人安全意识,不断了解和使用各种安全机制,以更好地保证浏览器的安全。

   
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。