Разработчики Mozilla сообщили, что запуск некоторых аддонов на определенных сайтах может быть заблокирован новой функцией Quarantined Domains. Создатели Firefox объясняют, что это делается «по разным причинам, в том числе из соображений безопасности».
«Мы представляем новую бэкэнд-функцию, позволяющую запускать на определенных сайтах только некоторые расширения, отслеживаемые Mozilla. [Это делается] по разным причинам, в том числе из соображений безопасности», — сообщается в примечаниях к выпуску Firefox 115.0, вышедшему на прошлой неделе.
В организации объясняют, что открытость экосистемы аддов может быть использована злоумышленниками в своих интересах.
«Эта функция позволяет нам предотвращать атаки злоумышленников на определенные домены, в случаях, когда у нас есть основания предполагать существование вредоносных дополнений, которые мы еще не обнаружили» — говорят разработчики.
Ожидается, что начиная с версии Firefox 116 пользователи получат больший контроль над настройками каждого аддона. Подчеркивается, что функцию можно будет отключить, открыв в адресной строке about:config и установив значение false для параметра extensions.quarantinedDomains.enabled.
Новая функциональность дополнит уже существующую в браузере Mozilla возможность удаленного отключения отдельных аддонов, представляющих риск для конфиденциальности и безопасности пользователей.
При этом ИБ-исследователи уже обнаружили, что в текущей имплементации предупреждения о запрете появляются только во всплывающем окне Extensions, и не связаны с иконкой Extensions. В результате, при закреплении аддона на панели инструментов, предупреждения не отображаются.
«Оказывается, если вы закрепляете расширение на панели инструментов, оно больше не появляется во всплывающем окне Extensions, — пишет исследователь и разработчик аддонов Джефф Джонсон. — Следовательно, предупреждение о доменах, помещенных в карантин, больше не появляется во всплывающем окне Extensions. Фактически, всплывающего окна больше нет: при нажатии на значок панели инструментов Extensions просто открывается страница about:addons, на которой не отображается предупреждения о карантинных доменах.
Этот ужасный дизайн пользовательского интерфейса для новой, так называемой "защитной" функции, позволяет незаметно отключать расширения, при этом скрывая предупреждение от пользователя».
В Mozilla уже заверили, что намерены улучшить работу функции в будущих версиях браузера, хотя пока разработчики не называют конкретных сроков.
Источник: xakep