Sospetto che Anders abbia ragione e chiunque abbia impostato il divieto dell'estensione di Chrome non ha pensato a Firefox. Se si rendessero conto che stavi usando Firefox per aggirare il divieto, probabilmente lo proibirebbero (o ci proverebbero comunque).
FWIW, sì, le estensioni del browser possono essere problematiche dal punto di vista della sicurezza, e posso vedere i motivi per vietarli o limitarli pesantemente in alcune situazioni. Detto questo, essere in grado di installare il proprio software, incluso un browser diverso, è altrettanto problematico per le stesse ragioni, o più, quindi consentire che mentre si vietano le estensioni sembra incoerente.
In ogni caso, il vero problema qui sembra essere la mancanza di comunicazione. Se il divieto di estensione era basato su una politica ufficiale esistente, tutti i dipendenti avrebbero dovuto essere informati della politica; in caso contrario, una tale politica avrebbe dovuto essere creata e adeguatamente annunciata.
Detto questo, in quanto autore di un'estensione per Chrome / Firefox ( SOUP), lasciatemi tieni presente che c'è, o almeno c'era , una reale differenza nel processo di verifica della sicurezza tra Chrome Web Store e i componenti aggiuntivi di Firefox. Fondamentalmente, la differenza è che i componenti aggiuntivi di Firefox avevano un processo di verifica della sicurezza manuale obbligatorio che tutte le estensioni dovevano superare prima di essere approvate, mentre Chrome Web Store solo contrassegna le estensioni per la revisione manuale se non superano un controllo euristico automatizzato.
Fondamentalmente, la mia esperienza personale con l'invio della mia estensione ai componenti aggiuntivi di Firefox e al Chrome Web Store è stata più o meno la seguente:
-
Componenti aggiuntivi per Firefox: mi sono registrato per un account sviluppatore e ho inviato l'estensione. Due settimane dopo ho ricevuto un'e-mail in cui si diceva che la mia estensione (che, a dire il vero, era già diventata abbastanza grande a quel punto) era stata completamente rivista e approvata. Il revisore aveva chiaramente esaminato il codice con un occhio dettagliato, poiché aveva individuato un bug di sanificazione HTML non banale (tra poco meno di 2.000 righe di JavaScript piuttosto denso) che avrebbe potuto portare a una vulnerabilità XSS se, come hanno anche notato nella loro recensione, l'input non proveniva da una fonte attendibile. Gli aggiornamenti successivi dell'estensione sono stati generalmente approvati al massimo entro pochi giorni.
-
Chrome Web Store: per poter inviare un'estensione, ho dovuto pagare un Quota di registrazione di $ 5. In realtà mi ci è voluto del tempo, dal momento che la mia banca apparentemente stava segnalando l'addebito come potenzialmente fraudolento e si rifiutava di lasciarlo passare. Alla fine sono riuscito a risolverlo chiamando la mia banca e facendole consentire manualmente l'addebito. Dopo aver completato il processo di registrazione, ho inviato l'estensione ed è stata pubblicata (IIRC) quasi immediatamente, apparentemente avendo superato i controlli automatici.
Ovviamente, senza sapere esattamente cosa fa Google i controlli automatici stanno verificando, non posso dire con certezza quanto siano bravi a catturare bug e malware. Ma so che non sono riusciti a individuare il bug quasi XSS nella mia estensione rilevato dal revisore di Mozilla.
Più in generale, la mia impressione è che Google sia più concentrato sul tentativo di rendere gli autori delle estensioni tracciabili e responsabili (tramite la quota di registrazione, che almeno significa che conoscono i dettagli della mia carta di credito; anche se sono sicuro che un malintenzionato potrebbe trovare modi per aggirare ciò) e sul rilevamento di malware intenzionale. E non sempre sembrano nemmeno coglierlo. Il precedente processo di revisione dei componenti aggiuntivi di Firefox, d'altra parte, non solo ha tenuto fuori il malware, ma ha anche cercato di individuare potenziali falle di sicurezza anche in estensioni ben intenzionate. Inoltre, esaminando manualmente gli aggiornamenti alle estensioni esistenti, il sistema dei componenti aggiuntivi di Firefox ostacolerebbe anche gli attacchi di dirottamento dell'account sviluppatore come quelli che hanno recentemente compromesso diverse estensioni di Chrome legittime.
Sfortunatamente, come ha sottolineato Makyen nei commenti seguenti, questa differenza non esiste più: da pochi mesi, i componenti aggiuntivi di Firefox sono passati a un processo di revisione delle estensioni semi-automatizzato, proprio come quello Chrome Web Store sta utilizzando.
Nel post del blog collegato, la modifica è stata motivata dalla "nuova API WebExtensions [essendo] meno probabile che causi problemi di sicurezza o stabilità per gli utenti". Sfortunatamente, questo ragionamento non mi convince molto: WebExtensions - anche estensioni di script di contenuti puri come SOUP - può fare molti danni nelle mani di un attore malintenzionato.
Solo l'API dello script di contenuto offre fondamentalmente un'estensione gratuita accesso a ogni pagina web che visiti ea ogni password o numero di carta di credito che digiti. Certo, quando installi l'estensione, ti verrà comunicato sui siti su cui potrebbe eseguire script di contenuto, ma tante estensioni (compresi i blocchi degli annunci , estensioni per la privacy, ecc.) richiedono già la possibilità di inserire script su ogni sito a cui pochi utenti presteranno attenzione a tale avviso, anche se capiscono cosa significa.
Solo una settimana dopo l'annuncio collegato sopra, due estensioni con minatori bitcoin incorporati erano già state individuate sui componenti aggiuntivi di Firefox. Quindi sembra che, quando si tratta di estensioni, il precedente vantaggio di sicurezza di Firefox rispetto a Chrome sia ora solo nostalgia. :(