Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties
Submitter: rctgamer3

Mozilla is begonnen met het signen van add-ons voor Firefox. Toekomstige versies van de browsers zullen alleen installatie van add-ons toelaten die door Mozilla van een handtekening zijn voorzien, maar het blijft mogelijk om add-ons uit te brengen buiten de addons.mozilla.org-site om.

Momenteel kunnen malafide add-ons zich in Firefox nestelen omdat er geen controleproces wordt toegepast om de werking van een extensie effectief te controleren. Hierdoor hebben onder andere malwaremakers add-ons in omloop gebracht die bijvoorbeeld de startpagina wijzigen of zelfs reclame dan wel malware injecteren. Mozilla poogde dit fenomeen eerder tegen te gaan door via een zwarte lijst dergelijke add-ons te blokkeren, maar deze methode is volgens de browserbouwer niet langer vol te houden omdat de lijst omzeild kan worden en er inmiddels teveel malafide add-ons in omloop zijn.

Om de verspreiding van kwaadaardige add-ons in te dammen, heeft Mozilla besloten dat toekomstige Firefox-versies alleen add-ons zullen accepteren die van een handtekening zijn voorzien. Op de portal addons.mozilla.org zullen alle gecontroleerde add-ons de komende weken automatisch van een handtekening worden voorzien. Over circa twaalf weken zal Mozilla nieuwe Firefox-versies uitbrengen die uitsluitend ondertekende add-ons accepteren; er zullen geen command-line-opties beschikbaar zijn om deze controle uit te schakelen.

Ontwikkelaars die add-ons buiten Mozilla's portal om willen aanbieden, worden niet buitengesloten. De browserbouwer zegt bewust geen 'walled garden' zoals de App Store of de Chrome App-omgeving te willen worden, maar betreffende ontwikkelaars dienen voortaan hun creaties wel te laten ondertekenen door deze te uploaden naar de signing-servers van Mozilla. Om add-ons te ontwikkelen en te testen kunnen ze de nightly- en developer-versies van Firefox gebruiken waarin geen controlemechanisme voor signed add-ons is opgenomen. Developers die add-ons via sideloading in Firefox willen installeren zullen voortaan een verzoek in moeten dienen bij Mozilla voor een handmatige goedkeuring.

Mozilla denkt dat de volledige implementatie van het nieuwe controlemechanisme in het tweede kwartaal van dit jaar afgerond zal zijn. Er zijn bij de ontwikkelaars van Thunderbird, die de e-mailclient binnen de afzonderlijke Mozilla Foundation ontwikkelen, vooralsnog geen plannen om het systeem over te nemen.

Moderatie-faq Wijzig weergave

Reacties (17)

Lijkt een goede zaak, maar het geeft ook andere problemen: onder welke wetgeving valt Mozilla en wat zegt dat over toekomstige plugins? Torrents, encryptie, filesharing? Zomaar wat termen waar sommige landen heel anders over denken dan andere. Zou Mozilla een Mega-addon mogen signen? PirateBay? PGP?
Zowel Mozilla Corporation als Mozilla Foundation zitten in Mountain View (CaliforniŰ, USA). En de laatste heeft de alle aandelen van de eerste. Dus ga maar na :)
Oei, ik dacht net dat Mozilla vnauit het begin gebruikt werd vanwege het feit dat het zo toegankelijk was. Dit klinkt eerder als "dichttimmeren" en het opent extra mogelijkheden voor andere bedrijven om dingen af te schieten of dreigen met een rechtszaak wanneer zij vinden dat een addon niet ondertekend mag worden. Ik hoop maar niet dat het gaat gebeuren dat straks adblockplus of ghostery niet meer gesigned wordt omdat dit "schadelijk" is voor andere bedrijven.
Dit klinkt alweer als de gebruiker inperken in de mogelijkheden ten gunste voor de grote bedrijven.
Maar goed, het klinkt aan de andere kant wel hetzelfde als wat Apple doet met de apps uit de appstore: een extra laag kwaliteit en controle aanbrengen...Graag geloof ik het positieve hiervan, maar ik zou graag ook willen weten wat de regels zijn waar een app aan hoort te voldoen om gesigned te worden.

[Reactie gewijzigd door Deathchant op 11 februari 2015 14:15]

De add-ons op de firefox site worden al verschillende jaren volledig manueel doorgelicht. Het is enkel een kwaliteitscontrole om er zeker van te zien dat je add-ons doet wat je beweert en geen andere ongewenste code bevat. https://addons.mozilla.or...ers/docs/policies/reviews
Ghostery en adblock plus zijn dus al lang goedgekeurd en zullen een handtekening krijgen.

[Reactie gewijzigd door dragonlords1 op 11 februari 2015 14:37]

Ik denk niet dat die regels extreem streng zullen zijn, ze zullen bij Mozilla toch ook wel snappen waarom hun browser nog altijd zo populair is. Je kunt er naar ik aanneem er gewoon van uit gaan dat die handtekening al gegeven word als er geen malafide praktijken middels de addon plaatsvinden.

"Op de portal addons.mozilla.org zullen alle gecontroleerde add-ons de komende weken automatisch van een handtekening worden voorzien."
Ofwel, alle addon die ze nu al als veilig beschouwen zullen dat ook blijven. Ghostery en Adblock zullen deze handtekening zonder verdere inspectie toegekend krijgen.

Kortom dit zal eerder een simpele controle en bescherming zijn tegen injecties en het ongewenst veranderen van de homepage dan dat hier een dictatoriale filter zoals bij Apple onstaat.
Goede zaak! Malware verstopt zich steeds vaker in browserextensies.

Alhoewel ik wel graag de mogelijkheid zou willen hebben om de controle uit te schakelen.
Ik neem aan dat je net zoals in Chrome een "Developer mode" kunt inschakelen waarna je extensies zonder handtekening kunt inladen. Anders wordt het ontwikkelen van extensies wel heel erg lastig.
er zullen geen command-line-opties beschikbaar zijn om deze controle uit te schakelen.

Oftewel, ik zal een developerversie moeten installeren :P De gewone versie kan je geen ongesignde extensies op inladen (alhoewel ik snel een addon verwacht die dat wel kan :P)
Ik las in 'n forum op Mozilla van een van de ontwikkelaars al dat ze, naar aanleiding van reacties, denken aan 'n simpele knop of zo om een soort testdeel of zoiets voor add-ons toe te voegen aan de normale browser.
Zoals ook in het artikel staat: "Om add-ons te ontwikkelen en te testen kunnen ze de nightly- en developer-versies van Firefox gebruiken waarin geen controlemechanisme voor signed add-ons is opgenomen."

Voor het ontwikkelen van extensies kun je dus een versie van Fx downloaden die installatie van alle extensies altijd toestaat.
Je kan nog wel buitenom installeren. Maar wil je ze direct uit de addon repo van Firefox, dan worden ze gevalideerd.
Je kan ze alleen buitenom installeren zodra ze door mozilla zijn gevalideerd ;)

Ontwikkelaars die add-ons buiten Mozilla's portal om willen aanbieden, worden niet buitengesloten. De browserbouwer zegt bewust geen 'walled garden' zoals de App Store of de Chrome App-omgeving te willen worden, maar betreffende ontwikkelaars dienen voortaan hun creaties wel te laten ondertekenen door deze te uploaden naar de signing-servers van Mozilla.
Mocht even duren, je mag best de ruimte geven voor vrije ontwikkeling maar zie hier het resultaat.

Nou heb ik ( en een hoop mede Tweakers) hier nooit last van malware/reclame door goed op te letten.

Echter zijn er familieleden (goh kun jij is even kijken naar laptopcomputterbeeldschermdinges) die hier wel in tuinen omdat ze ooit ergens gelezen hebben dat FF een fijnere browser is dan IE.
Ik ben benieuwd wat er met verouderde extensies gebeurd. Deze werken officieel niet meer in recent FF versies, maar zijn toch aan de praat te krijgen door de manifest te editen. Deze zijn vast niet signed straks.

Voorbeeldje: oude Zend Debugger add-on.
Gelukkig worden bestaande add-ons op AMO door henzelf ge-signed.
•Extensions that are submitted for hosting on AMO and pass review will be automatically signed. We will also automatically sign the latest reviewed version of all currently listed extensions.

EDIT: Dat stond dus al in het bericht... Spuit 11 enzo.

[Reactie gewijzigd door MBI op 11 februari 2015 15:28]

Dealbreaker dit. Hopen dat Iceweasel dit niet overneemt.

Het is niet goed als Mozilla als enige partij gaat bepalen wat wel en niet goed is voor gebruikers. Natuurlijk, ik zie ook wel dat dit een prima manier is om malware tegen te houden - maar er zou een optie in about:config moeten zijn om dit uit te schakelen. Want als ik doelbewust een add-on wil installeren die de goedkeuring van Mozilla niet kan wegdragen, dan is dat uiteindelijk nog steeds mijn zaak.
mooi !
Jammer dat het niet eerder was.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True