Domanda:
Esistono motivi oggettivi per non consentire le estensioni di Google Chrome, ma per consentire le estensioni di Firefox?
Alexei
2017-11-27 14:51:10 UTC
view on stackexchange narkive permalink

Di recente, l'azienda per cui lavoro ha vietato l'utilizzo di estensioni in Chrome. Inoltre non consentono la sincronizzazione dell'account. Ciò ha influito praticamente su tutti gli sviluppatori Web poiché utilizzano Chrome per testare il proprio codice front-end e utilizzano una o due estensioni per migliorare la produttività (visualizzazione JSON, strumenti di sviluppo Redux).

Sfortunatamente, questo è cambiato dall'oggi al domani senza comunicazione e non c'è una ragione chiara per questo cambiamento.

Tuttavia, ho notato che sono in grado di utilizzare una versione portatile di Firefox e installare tutte le estensioni necessarie.

Attualmente lo sono utilizzando Chrome 62.0 e Firefox 56.0.2 (portatile). Uso la versione portatile perché l'azienda consente ufficialmente FrontMotion e non voglio fare confusione con la sua installazione.

Questo post piuttosto vecchio non viene visualizzato eventuali gravi problemi di sicurezza per Google Chrome (ad eccezione della privacy).

Domanda: esistono motivi oggettivi per vietare le estensioni di Google Chrome, ma consentire le estensioni per Firefox?

Le estensioni di Firefox sono esplicitamente consentite?La mia ipotesi è che nessuno abbia ancora pensato di bloccarli o che sia difficile impedire alle persone di eseguire un'installazione portatile se hanno i diritti di amministratore.
@Anders: non è stato comunicato nulla sull'utilizzo di Firefox (con o senza estensioni) e ho notato che le sue estensioni sono consentite solo dopo che non consentivano estensioni di Chrome (non avevo motivo di testarle prima).Inoltre, la versione portatile non deve essere installata (è sufficiente decomprimerla).Ad ogni modo, cercherò di ottenere un elenco molto breve di estensioni chiaramente definite da inserire nella white list in Chrome e di non utilizzare affatto le estensioni in Firefox.
Una possibile ragione, o effetto collaterale: Firefox è molto più lento, come Chrome.Quindi, se scrivi codice che funziona abbastanza bene su FF, sarà sicuramente meraviglioso su Chrome.
Bloccano Chrome e consentono Firefox?O semplicemente non hanno capito come bloccare Firefox portatile e le sue estensioni?(O, più probabilmente, non sanno che esistono PortableApps?) Questi sono scenari molto diversi ...
@WernerCD: le estensioni di Chrome sono state esplicitamente bloccate insieme alla sincronizzazione dei dati dell'account.Nella maggior parte dei casi, le modifiche alla sicurezza sono avvenute senza alcuna notifica preventiva, quindi non posso dire nulla su Firefox.Come sviluppatore devo assicurarmi che anche le app web lo supportino e ora che le estensioni di Chrome non ci sono più, l'ho appena provato insieme alle estensioni e hanno funzionato.So che sembra strano, ma nelle grandi organizzazioni può esserci una grande distanza gerarchica tra gli sviluppatori e le persone che decidono queste cose.
Nota: la parola "$$$" è sempre più forte come la parola di alcuni amministratori di sistema che fanno pressioni per cose strane motivate dalla "sicurezza".Spiega ai tuoi capi come ti tira indietro nel tuo lavoro.Se sei abbastanza convincente, i capi - dovendoti pagare - faranno qualcosa.
Tangenzialmente, è importante notare che utili estensioni del browser con elevata reputazione possono essere (e [sono state] (https://security.stackexchange.com/q/166606/56961)) dirottate a fini dannosi.
Potrei suggerire di porre una variazione di questa domanda su workplace.stackexchange.com.La domanda sul posto di lavoro che potresti porre si riduce a "Come rispondo ai cambiamenti della politica di sicurezza che ostacolano la mia produttività?".Potrebbe essere un duplicato.La risposta è abbastanza ovvia: bloccare le estensioni danneggia la produttività, il che ha un costo reale per l'azienda.Trovare una via di mezzo sarà probabilmente più produttivo: inserisci alcune estensioni nella lista bianca o chiedi a qualcuno di riprodurre le estensioni più utili (la visualizzazione JSON è semplicissima, ad esempio).
@ConorMancone - sì, è una buona idea.Alcune risposte da lì sono molto buone e un po 'creative.
@Alexei Hai detto che non hai riscontrato seri problemi di sicurezza con Chrome eccetto la privacy: perché scartare i problemi di privacy?Per un'azienda la privacy, nel senso che mantiene sicure le informazioni aziendali vitali, può essere un problema molto serio.Detto questo, immagino che qualcuno abbia letto qualcosa di brutto su Chrome o sulle estensioni di Chrome e Firefox semplicemente non è ancora sul radar di quella persona, ancora.
@Alexei - sì, la privacy è (o era, poiché l'articolo ha un anno) una questione importante.So che le estensioni di solito abusano dei loro requisiti (molti leggono tutte le informazioni a cui si accede), ma non succede anche in Firefox?Credo che tu abbia ragione: Firefox è stato semplicemente ignorato perché la maggior parte degli utenti che hanno diritti amministrativi (o conoscono la versione portatile) utilizzano Google Chrome.
@peterh ne sei sicuro?L'ultima versione di Firefox supera l'ultima versione di Chrome sulla maggior parte dei siti.
@OrangeDog Inoltre mi piace molto di più FF, ma il progetto su cui sto attualmente lavorando ha un * molto * enorme svantaggio (ff ha prestazioni inferiori al 10% della velocità di Chrome).La situazione inizia a peggiorare nella direzione "perché stai usando ancora ff" e non sarò in grado di tenere la parte anteriore troppo a lungo.:-( Sì, è Angular. Uso FF ogni notte, ma anche le versioni stabili sono altrettanto lente. Ho anche grossi problemi con gli e10, quindi lo spengo ovunque posso. (Se lo permetto, non lo fa "non aiuta niente.)
La differenza nel consentire le estensioni FF, ma non Chrome, potrebbe essere basata su informazioni obsolete.In passato, ogni versione di ogni estensione FF elencata su AMO era stata sottoposta a una revisione manuale del codice (oltre a controlli automatici).Mozilla [ha recentemente cambiato le politiche / procedure di revisione] (// blog.mozilla.org/addons/2017/09/21/review-wait-times-get-shorter/).Tutte le estensioni FF vengono ora controllate automaticamente ed elencate senza revisione manuale.Mozilla afferma che molte estensioni verranno comunque riviste manualmente * dopo * essere state elencate.Mozilla si rifiuta di esporre lo stato di revisione manuale agli utenti.
@Makyen certo, ma poiché così tante estensioni FF sono ora obsolete dalla nuova API e la nuova API è presumibilmente molto più sicura (e corrispondentemente molto meno capace), suppongo che pensino che il controllo automatico sia ora un approccio valido.
L'API WebExtensions di @gbjbaanb, FF è effettivamente la stessa API che Chrome utilizza per le proprie estensioni (con alcune restrizioni / differenze / API mancanti / aggiunte aggiuntive).Le estensioni scritte per Chrome sono ampiamente compatibili con il codice con WebExtensions.Non c'è alcun motivo valido per credere che la stragrande maggioranza dei problemi di sicurezza che hanno afflitto Chrome non siano possibili anche in Firefox WebExtensions (spesso senza la necessità di modificare alcun codice).Le estensioni Web sono solo "più sicure" rispetto alle estensioni "legacy" di Firefox, e questo semplicemente perché sono * molto * meno capaci.
Sei fortunato.La mia azienda non consente nemmeno Chrome o Firefox, è consentito solo IE11
@peterh Sembra una buona ragione per * continuare * a utilizzare Firefox.Chrome non è l'unico browser esistente e se il tuo progetto funziona in altri browser, verrà utilizzato in essi.Non puoi semplicemente guardare i migliori risultati delle prestazioni e chiamarli buoni.
@Yay295 Esatto.Il problema è che questo progetto non può essere fatto funzionare facilmente su Firefox, ma funziona abbastanza bene su qualsiasi altro browser.È fonte di grande tristezza per me.Penso che in qualche modo sia così ... brutto.Angular è sviluppato da Google, Chrome è sviluppato da Google e Angular funziona bene su Chrome, ma non su ff ...
Sei risposte:
Serge Ballesta
2017-11-27 15:42:57 UTC
view on stackexchange narkive permalink

Non posso rispondere alla domanda posta, ma spero che questo possa far luce sul tuo problema.

  • Le regole di sicurezza aziendale dovrebbero vietare l'uso di alcune estensioni del browser?

    IMHO la risposta è SI qui. Le estensioni del browser possono fare praticamente qualsiasi cosa per conto del browser normale. Ciò significa che un firewall locale non li rileverà.

  • Esistono ragioni oggettive per fidarsi di più XXX (inserire qui qualsiasi browser di estensione del browser) di YYY (un altro browser o estensione del browser).

    La fiducia nella sicurezza IT si basa su 2 elementi principali: verifica del codice e reputazione. Il primo è oggettivo, mentre il secondo no, ma devo ammettere che utilizzo principalmente il secondo perché non ho né tempo né conoscenze sufficienti per rivedere tutto, quindi mi affido solo a consigli esterni di fonti di cui mi fido. Quando mi affido a HTTPS per proteggere un canale, devo fidarmi del proprietario del certificato per non fare cose cattive con i dati una volta ricevuti e mi fido del firmatario del certificato. Per farla breve, è possibile dire se un'estensione ha una reputazione migliore di un'altra, ma può essere solo per estensione e non a livello globale per browser.

  • L'utilizzo di un Firefox portatile nel tuo caso d'uso una soluzione accettabile?

    Ancora la mia opinione, ma a meno che tu non sia in una posizione gerarchica che ti consenta di ignorare una regola del team di sicurezza, voglio dire un grande NO qui. Il mio consiglio è che dovresti prima fare un elenco delle estensioni che usi comunemente e di quelle possibili sostitutive. Quindi dovresti cercare di raccogliere quanti più elementi sulla loro sicurezza oggettiva e sulla loro reputazione (sempre dal punto di vista della sicurezza). Quindi dovresti dire al tuo manager che la recente proibizione dell'estensione di Chrome porta a una netta diminuzione della produttività e chiedergli di proporre al team di sicurezza un elenco di estensioni di cui hai bisogno con possibili sostituzioni (Firefox per Chrome per esempio). Quindi o sono d'accordo con un elenco accettabile, o la domanda dovrebbe salire più in alto nella gerarchia dell'organizzazione, fino a quando qualcuno che è responsabile sia della sicurezza globale che della produttività globale non prende una decisione. Ignorare silenziosamente le regole aziendali è sempre una cattiva decisione perché il ragazzo che ha autorità globale non ha modo di sapere che alcune regole non vengono seguite.

E se il tuo capo sceglie quella sicurezza è più importante della produttività o il contrario, lui ha autorità per quella scelta mentre tu potresti non avere.

Grazie per la risposta esauriente.L'utilizzo di Firefox non è regolamentato (almeno non esplicitamente) e lo uso solo per ricontrollare i miei sviluppi.Inoltre ho una piccolissima estensione che utilizzo e sono tutte molto popolari, quindi posso teoricamente indicarle e chiedere di essere white list.
Come nota a margine, una politica di sicurezza che vieta tutte le estensioni (non solo quelle installate dall'utente) e non installa forzatamente UBO su tutte le workstation è irrimediabilmente infranta.
@Alexei Molto popolare non significa sicuro.Spesso è il contrario: lo sviluppatore di estensioni molto popolare riceve un'offerta da produttori di malware che offrono di acquistare l'estensione da loro per una grande somma di denaro.Il meglio che puoi fare è utilizzare solo estensioni open source di sviluppatori di cui sai di poterti fidare per non vendere.
Vedi la risposta di Ilmari Karonen.C'è una grande differenza nel modo in cui il codice viene controllato per le estensioni in ogni browser.
@R: Cos'è UBO?
[uBlock Origin] (https://github.com/gorhill/uBlock/).È un blocco annunci / contenuto generico con molte potenti funzionalità.
@seaturtle: Grazie.Lo uso anch'io, ma all'inizio non ci ho pensato.
Ilmari Karonen
2017-11-28 07:23:31 UTC
view on stackexchange narkive permalink

Sospetto che Anders abbia ragione e chiunque abbia impostato il divieto dell'estensione di Chrome non ha pensato a Firefox. Se si rendessero conto che stavi usando Firefox per aggirare il divieto, probabilmente lo proibirebbero (o ci proverebbero comunque).

FWIW, sì, le estensioni del browser possono essere problematiche dal punto di vista della sicurezza, e posso vedere i motivi per vietarli o limitarli pesantemente in alcune situazioni. Detto questo, essere in grado di installare il proprio software, incluso un browser diverso, è altrettanto problematico per le stesse ragioni, o più, quindi consentire che mentre si vietano le estensioni sembra incoerente.

In ogni caso, il vero problema qui sembra essere la mancanza di comunicazione. Se il divieto di estensione era basato su una politica ufficiale esistente, tutti i dipendenti avrebbero dovuto essere informati della politica; in caso contrario, una tale politica avrebbe dovuto essere creata e adeguatamente annunciata.

Detto questo, in quanto autore di un'estensione per Chrome / Firefox ( SOUP), lasciatemi tieni presente che c'è, o almeno c'era , una reale differenza nel processo di verifica della sicurezza tra Chrome Web Store e i componenti aggiuntivi di Firefox. Fondamentalmente, la differenza è che i componenti aggiuntivi di Firefox avevano un processo di verifica della sicurezza manuale obbligatorio che tutte le estensioni dovevano superare prima di essere approvate, mentre Chrome Web Store solo contrassegna le estensioni per la revisione manuale se non superano un controllo euristico automatizzato.

Fondamentalmente, la mia esperienza personale con l'invio della mia estensione ai componenti aggiuntivi di Firefox e al Chrome Web Store è stata più o meno la seguente:

  • Componenti aggiuntivi per Firefox: mi sono registrato per un account sviluppatore e ho inviato l'estensione. Due settimane dopo ho ricevuto un'e-mail in cui si diceva che la mia estensione (che, a dire il vero, era già diventata abbastanza grande a quel punto) era stata completamente rivista e approvata. Il revisore aveva chiaramente esaminato il codice con un occhio dettagliato, poiché aveva individuato un bug di sanificazione HTML non banale (tra poco meno di 2.000 righe di JavaScript piuttosto denso) che avrebbe potuto portare a una vulnerabilità XSS se, come hanno anche notato nella loro recensione, l'input non proveniva da una fonte attendibile. Gli aggiornamenti successivi dell'estensione sono stati generalmente approvati al massimo entro pochi giorni.

  • Chrome Web Store: per poter inviare un'estensione, ho dovuto pagare un Quota di registrazione di $ 5. In realtà mi ci è voluto del tempo, dal momento che la mia banca apparentemente stava segnalando l'addebito come potenzialmente fraudolento e si rifiutava di lasciarlo passare. Alla fine sono riuscito a risolverlo chiamando la mia banca e facendole consentire manualmente l'addebito. Dopo aver completato il processo di registrazione, ho inviato l'estensione ed è stata pubblicata (IIRC) quasi immediatamente, apparentemente avendo superato i controlli automatici.

Ovviamente, senza sapere esattamente cosa fa Google i controlli automatici stanno verificando, non posso dire con certezza quanto siano bravi a catturare bug e malware. Ma so che non sono riusciti a individuare il bug quasi XSS nella mia estensione rilevato dal revisore di Mozilla.

Più in generale, la mia impressione è che Google sia più concentrato sul tentativo di rendere gli autori delle estensioni tracciabili e responsabili (tramite la quota di registrazione, che almeno significa che conoscono i dettagli della mia carta di credito; anche se sono sicuro che un malintenzionato potrebbe trovare modi per aggirare ciò) e sul rilevamento di malware intenzionale. E non sempre sembrano nemmeno coglierlo. Il precedente processo di revisione dei componenti aggiuntivi di Firefox, d'altra parte, non solo ha tenuto fuori il malware, ma ha anche cercato di individuare potenziali falle di sicurezza anche in estensioni ben intenzionate. Inoltre, esaminando manualmente gli aggiornamenti alle estensioni esistenti, il sistema dei componenti aggiuntivi di Firefox ostacolerebbe anche gli attacchi di dirottamento dell'account sviluppatore come quelli che hanno recentemente compromesso diverse estensioni di Chrome legittime.

Sfortunatamente, come ha sottolineato Makyen nei commenti seguenti, questa differenza non esiste più: da pochi mesi, i componenti aggiuntivi di Firefox sono passati a un processo di revisione delle estensioni semi-automatizzato, proprio come quello Chrome Web Store sta utilizzando.

Nel post del blog collegato, la modifica è stata motivata dalla "nuova API WebExtensions [essendo] meno probabile che causi problemi di sicurezza o stabilità per gli utenti". Sfortunatamente, questo ragionamento non mi convince molto: WebExtensions - anche estensioni di script di contenuti puri come SOUP - può fare molti danni nelle mani di un attore malintenzionato.

Solo l'API dello script di contenuto offre fondamentalmente un'estensione gratuita accesso a ogni pagina web che visiti ea ogni password o numero di carta di credito che digiti. Certo, quando installi l'estensione, ti verrà comunicato sui siti su cui potrebbe eseguire script di contenuto, ma tante estensioni (compresi i blocchi degli annunci , estensioni per la privacy, ecc.) richiedono già la possibilità di inserire script su ogni sito a cui pochi utenti presteranno attenzione a tale avviso, anche se capiscono cosa significa.

Solo una settimana dopo l'annuncio collegato sopra, due estensioni con minatori bitcoin incorporati erano già state individuate sui componenti aggiuntivi di Firefox. Quindi sembra che, quando si tratta di estensioni, il precedente vantaggio di sicurezza di Firefox rispetto a Chrome sia ora solo nostalgia. :(

Sono d'accordo sul fatto che una volta c'era una differenza * significativa *.Sfortunatamente, [le politiche di Mozilla per la revisione dei componenti aggiuntivi sono cambiate] (https://blog.mozilla.org/addons/2017/09/21/review-wait-times-get-shorter/).La revisione della quotazione su AMO è ora completamente automatica / programmatica, non manuale (per componenti aggiuntivi basati su WebExtensions).Mozilla ha dichiarato che alcuni * sottoinsiemi * di componenti aggiuntivi verranno esaminati manualmente * dopo * essere stati elencati.Hanno dichiarato di non essere disposti a esporre agli utenti lo stato corrente di qualsiasi componente aggiuntivo che è stato o non è stato rivisto manualmente.
I componenti aggiuntivi di WebExtension sono più sicuri di quelli legacy?
Leggere questo mi ha reso così felice che Mozilla abbia effettivamente messo così tanto impegno nella revisione delle estensioni.Per la prima volta da anni, il pensiero di donare a loro è saltato fuori nella mia mente ... poi sono arrivato alla fine del tuo post e ho visto che hanno eliminato una recensione così dettagliata ... Peccato,Mozilla.
user541686
2017-11-28 09:03:42 UTC
view on stackexchange narkive permalink

Sì.

Può esserci un motivo legittimo:

  • Le estensioni di Chrome vengono sempre aggiornate automaticamente.
  • Le estensioni di Firefox non devono essere aggiornate automaticamente.

Ciò significa che se l'account dello sviluppatore di un'estensione di Chrome con "legge le tue informazioni su tutti i siti web "l'autorizzazione viene compromessa, il ladro può diffondere codice dannoso in tutto il mondo molto rapidamente 1 e tutti i tipi di account, dalle email ai conti bancari, sarebbero a rischio. Consentire all'utente di eseguire l'aggiornamento a un ritmo più lento e meno prevedibile rende (1) più probabile che al termine dell'aggiornamento, il codice dannoso sia stato individuato e rimosso e anche (2) che l'attacco stesso sarebbe stato meno probabilità di essere tentato a causa dell'avvertenza in (1).

Ora, non ho idea se questo è il motivo della tua azienda. Nella mia esperienza, le persone (e anche Google) sembrano dimenticare questa minaccia e / o spazzare via questa minaccia di compromesso degli sviluppatori sotto il tappeto (e secondo me, pericolosamente in modo errato). Tuttavia, è una preoccupazione legittima e credo che sia solo questione di tempo prima che il malware pericoloso si diffonda a livello globale tramite l'aggiornamento automatico forzato.

1 Non sii troppo ingenuo nel modo in cui pensi a questo. Se stai pensando "ma eseguono test automatici" o "ma scaglionano gli aggiornamenti" o [qualunque cosa], renditi conto che il codice dannoso non deve mostrare immediatamente segni di attività dannosa, soprattutto non l'attività di rete. Può semplicemente rimanere inattivo mentre l'aggiornamento viene rilasciato, quindi impostato per l'attivazione in un secondo momento e, dopo l'attivazione globale simultanea, può inviare le credenziali da una tonnellata di utenti e siti Web alla sua nave madre prima che venga rilevato e disabilitato.

Ancora più importante, ogni aggiornamento delle estensioni di Firefox viene esaminato manualmente prima di essere pubblicato.
Questa è una risposta interessante.Tuttavia, sembra che ci siano modi per [disabilitare l'aggiornamento delle estensioni] (https://stackoverflow.com/questions/27657617/how-to-disable-google-chrome-extension-autoupdate).
@Alexei: Il punto non è solo disabilitare completamente gli aggiornamenti, il punto è poter scegliere quando aggiornare ogni estensione.Se ti sforzi di clonare l'estensione e disabiliti l'aggiornamento nel manifest del tuo clone locale (attenzione, questo è troppo doloroso per essere pratico per chi non ha già familiarità con le estensioni di Chrome o per chiunque non abbia voglia di farlopiù e più volte per ciascuna delle loro 20 estensioni), quindi dovrai reinstallare l'estensione per aggiornarla, il che non è certo qualcosa che gli utenti vorranno passare (* specialmente * non se cancella le loro impostazioni).
@OrangeDog [Mozilla ha cambiato la procedura di revisione dei componenti aggiuntivi a settembre] (https://blog.mozilla.org/addons/2017/09/21/review-wait-times-get-shorter/).I componenti aggiuntivi di Firefox sono ora elencati solo dopo una revisione automatica / programmatica (per i componenti aggiuntivi basati su WebExtensions, ovvero compatibile con FF57 +).Verrà eseguita una revisione manuale solo su un sottoinsieme di tutte le nuove versioni del componente aggiuntivo, ma solo * dopo * che il componente aggiuntivo è stato elencato su AMO.
a20
2017-11-27 20:46:28 UTC
view on stackexchange narkive permalink

Forse nella tua azienda c'erano utenti che avevano malware o avevano rubato problemi di dati a causa delle estensioni di Google Chrome.

Mi è successo, quindi non lo sconto.

Non conosco le estensioni di Firefox, ma ho trovato malware in un'estensione di Chrome che stava manipolando l'output del mio browser. Ho indagato per conto mio e l'ho segnalato a Google ma non è successo nulla. In superficie era un plugin molto utile che mi ha permesso di avere una sessione separata in ogni scheda per lo stesso dominio.

Quindi, nella mia esperienza personale, Google è pessimo nel monitorare / moderare app / estensioni. Ogni singolo plug-in che hai nel tuo Chrome è capace di molte cose pericolose.

Solo per farti sapere, Firefox ha avuto una funzionalità integrata (abilitata tramite il componente aggiuntivo Multi-Account Containers che aggiunge una GUI ad esso) per farlo.
Firefox stava davvero divorando la mia memoria l'ultima volta che l'ho usato ~ 3 anni fa.È ancora così?Chrome è riuscito a trovare una nicchia abbastanza decente nel mio flusso di lavoro, quindi sono molto riluttante a muovermi.
L'hai colto in un momento fantastico;di recente hanno riprogrammato completamente la maggior parte del codice (incluso ~ 95% del backend, l'intero motore di rendering ecc.) per essere più veloce e avere un footprint di memoria inferiore.Hanno anche implementato funzionalità come es10 nel ramo principale.Fondamentalmente, ora c'è un processo per l'interfaccia utente (uno per ogni finestra?) E uno per ogni scheda, e un codice molto piccolo.
Per la maggior parte dei siti non Google (in cui Chrome lo batte per ovvi motivi) Firefox è più veloce.In effetti, c'è un sito Google (non sono sicuro di quale, ma mi viene in mente Gmail) in cui Firefox è più veloce.Inoltre, la cosa multi-processo significa che puoi impostare la priorità del processo di _individual tabs_, il che è carino.
Joel Coehoorn
2017-11-29 21:15:40 UTC
view on stackexchange narkive permalink

È possibile che si riferisca agli strumenti a disposizione del team di sicurezza. Un team può avere accesso a strumenti per gestire e controllare o anche solo segnalare le estensioni per uno dei browser ma non per l'altro in questo momento.

Non credo che questa sia la tua situazione, ma è una ragione legittima per una politica che sembra discriminare un determinato browser per nessun altro motivo apparente. So che Chrome, in particolare, ha un pacchetto di amministrazione disponibile per gli amministratori di dominio Windows che consente agli amministratori di vedere e impostare una serie di opzioni di sicurezza, ma ciò non significa che il team di sicurezza sia stato in grado di impostare questi strumenti. Sospetto che Firefox abbia qualcosa di simile, ma al momento non sono all'altezza degli strumenti di Mozilla per questo.

darkmoon
2017-11-29 21:55:37 UTC
view on stackexchange narkive permalink

Esistono motivi oggettivi per non consentire le estensioni di Google Chrome, ma per consentire le estensioni di Firefox?

Oggettivamente, Mozilla ha un processo più robusto per la distribuzione di un componente aggiuntivo rispetto a chrome.

Oggettivamente, le estensioni di Chrome sono state violate di recente (l'ingegneria sociale è indipendente dalla piattaforma, però).

Oggettivamente, Chrome ha un modo di condividere un utilizzo maggiore. Vuoi scegliere come target un sistema operativo popolare? Target di Windows. Vuoi scegliere come target un browser popolare? Target di Chrome

Probabilmente non dovresti continuare a utilizzare questi componenti aggiuntivi senza autorizzazione esplicita, ma credo che le estensioni di Chrome siano, in un certo senso, meno sicure dei componenti aggiuntivi di Mozilla.

L'ingegneria sociale è indipendente dalla piattaforma, ma è meno un problema se gli account Firefox vengono violati come ogni singolo componente aggiuntivo (_ogni_ componente aggiuntivo senza eccezioni ora, anche se c'è stato un tempo in cui c'era un elenco attendibile per le versioni aggiornate di determinati componenti aggiuntivi-ons) passa attraverso un processo obbligatorio di revisione a pettine a denti fini che rileva errori innocenti, per non parlare del malware palese (offuscato o no).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...