Mozilla start met ondertekenen add-ons voor toekomstige Firefox-versies

Mozilla is begonnen met het signen van add-ons voor Firefox. Toekomstige versies van de browsers zullen alleen installatie van add-ons toelaten die door Mozilla van een handtekening zijn voorzien, maar het blijft mogelijk om add-ons uit te brengen buiten de addons.mozilla.org-site om.

Momenteel kunnen malafide add-ons zich in Firefox nestelen omdat er geen controleproces wordt toegepast om de werking van een extensie effectief te controleren. Hierdoor hebben onder andere malwaremakers add-ons in omloop gebracht die bijvoorbeeld de startpagina wijzigen of zelfs reclame dan wel malware injecteren. Mozilla poogde dit fenomeen eerder tegen te gaan door via een zwarte lijst dergelijke add-ons te blokkeren, maar deze methode is volgens de browserbouwer niet langer vol te houden omdat de lijst omzeild kan worden en er inmiddels teveel malafide add-ons in omloop zijn.

Om de verspreiding van kwaadaardige add-ons in te dammen, heeft Mozilla besloten dat toekomstige Firefox-versies alleen add-ons zullen accepteren die van een handtekening zijn voorzien. Op de portal addons.mozilla.org zullen alle gecontroleerde add-ons de komende weken automatisch van een handtekening worden voorzien. Over circa twaalf weken zal Mozilla nieuwe Firefox-versies uitbrengen die uitsluitend ondertekende add-ons accepteren; er zullen geen command-line-opties beschikbaar zijn om deze controle uit te schakelen.

Ontwikkelaars die add-ons buiten Mozilla's portal om willen aanbieden, worden niet buitengesloten. De browserbouwer zegt bewust geen 'walled garden' zoals de App Store of de Chrome App-omgeving te willen worden, maar betreffende ontwikkelaars dienen voortaan hun creaties wel te laten ondertekenen door deze te uploaden naar de signing-servers van Mozilla. Om add-ons te ontwikkelen en te testen kunnen ze de nightly- en developer-versies van Firefox gebruiken waarin geen controlemechanisme voor signed add-ons is opgenomen. Developers die add-ons via sideloading in Firefox willen installeren zullen voortaan een verzoek in moeten dienen bij Mozilla voor een handmatige goedkeuring.

Mozilla denkt dat de volledige implementatie van het nieuwe controlemechanisme in het tweede kwartaal van dit jaar afgerond zal zijn. Er zijn bij de ontwikkelaars van Thunderbird, die de e-mailclient binnen de afzonderlijke Mozilla Foundation ontwikkelen, vooralsnog geen plannen om het systeem over te nemen.

Door Dimitri Reijerman

Redacteur

Feedback • 11-02-2015 14:07
17 • submitter: rctgamer3

11-02-2015 • 14:07

17

Submitter: rctgamer3

Lees meer

Mozilla stopt met Aurora-releases van Firefox tussen nightly en bèta
Mozilla stopt met Aurora-releases van Firefox tussen nightly en bèta Nieuws van 19 april 2017
'Screenshotdumper' Puush was geïnfecteerd met malware
'Screenshotdumper' Puush was geïnfecteerd met malware Nieuws van 30 maart 2015
Experimentele Firefox-versie biedt standaard blokkadeoptie voor trackers
Experimentele Firefox-versie biedt standaard blokkadeoptie voor trackers Nieuws van 11 november 2014
Mozilla wil gebruikers oude versies van Firefox laten updaten
Mozilla wil gebruikers oude versies van Firefox laten updaten Nieuws van 18 mei 2014
Ontwikkelaar Adblock Plus: hoog geheugengebruik komt mede door bug in Firefox
Ontwikkelaar Adblock Plus: hoog geheugengebruik komt mede door bug in Firefox Nieuws van 16 mei 2014
Firefox 29 biedt nieuwe Australis-interface en eenvoudiger sync-functie
Firefox 29 biedt nieuwe Australis-interface en eenvoudiger sync-functie Nieuws van 29 april 2014
Mozilla's Lightbeam-privacytool moet inzicht geven in tracking
Mozilla's Lightbeam-privacytool moet inzicht geven in tracking Nieuws van 25 oktober 2013
Eenvoudiger interface Firefox komt in oktober
Eenvoudiger interface Firefox komt in oktober Nieuws van 28 mei 2013
Mega brengt Firefox-extensie uit
Mega brengt Firefox-extensie uit Nieuws van 10 februari 2013
Adblock Plus is populairste Firefox-add-on
Adblock Plus is populairste Firefox-add-on Nieuws van 31 juli 2012
Patch moet geheugenlekken van add-ons in Firefox tegengaan
Patch moet geheugenlekken van add-ons in Firefox tegengaan Nieuws van 8 mei 2012
Firefox 11 krijgt add-on-synchronisatie
Firefox 11 krijgt add-on-synchronisatie Nieuws van 5 februari 2012
Mozilla brengt publieke bèta Firefox 8 met Twitter-zoekfunctie uit
Mozilla brengt publieke bèta Firefox 8 met Twitter-zoekfunctie uit Nieuws van 30 september 2011
Mozilla zet Firefox 6.0 alvast online
Mozilla zet Firefox 6.0 alvast online Nieuws van 14 augustus 2011
Meer producten en artikelen
Browsers Netwerk en systeembeheer

Reacties (17)

-Moderatie-faq
17
17
15
1
0
0
Wijzig sortering
thunder7 11 februari 2015 14:30
Lijkt een goede zaak, maar het geeft ook andere problemen: onder welke wetgeving valt Mozilla en wat zegt dat over toekomstige plugins? Torrents, encryptie, filesharing? Zomaar wat termen waar sommige landen heel anders over denken dan andere. Zou Mozilla een Mega-addon mogen signen? PirateBay? PGP?
RoestVrijStaal @thunder711 februari 2015 17:29
Zowel Mozilla Corporation als Mozilla Foundation zitten in Mountain View (Californië, USA). En de laatste heeft de alle aandelen van de eerste. Dus ga maar na :)
Deathchant 11 februari 2015 14:14
Oei, ik dacht net dat Mozilla vnauit het begin gebruikt werd vanwege het feit dat het zo toegankelijk was. Dit klinkt eerder als "dichttimmeren" en het opent extra mogelijkheden voor andere bedrijven om dingen af te schieten of dreigen met een rechtszaak wanneer zij vinden dat een addon niet ondertekend mag worden. Ik hoop maar niet dat het gaat gebeuren dat straks adblockplus of ghostery niet meer gesigned wordt omdat dit "schadelijk" is voor andere bedrijven.
Dit klinkt alweer als de gebruiker inperken in de mogelijkheden ten gunste voor de grote bedrijven.
Maar goed, het klinkt aan de andere kant wel hetzelfde als wat Apple doet met de apps uit de appstore: een extra laag kwaliteit en controle aanbrengen...Graag geloof ik het positieve hiervan, maar ik zou graag ook willen weten wat de regels zijn waar een app aan hoort te voldoen om gesigned te worden.

[Reactie gewijzigd door Deathchant op 27 juli 2024 03:18]

dragonlords1 @Deathchant11 februari 2015 14:31
De add-ons op de firefox site worden al verschillende jaren volledig manueel doorgelicht. Het is enkel een kwaliteitscontrole om er zeker van te zien dat je add-ons doet wat je beweert en geen andere ongewenste code bevat. https://addons.mozilla.or...ers/docs/policies/reviews
Ghostery en adblock plus zijn dus al lang goedgekeurd en zullen een handtekening krijgen.

[Reactie gewijzigd door dragonlords1 op 27 juli 2024 03:18]

DeathMaster @Deathchant11 februari 2015 14:40
Ik denk niet dat die regels extreem streng zullen zijn, ze zullen bij Mozilla toch ook wel snappen waarom hun browser nog altijd zo populair is. Je kunt er naar ik aanneem er gewoon van uit gaan dat die handtekening al gegeven word als er geen malafide praktijken middels de addon plaatsvinden.

"Op de portal addons.mozilla.org zullen alle gecontroleerde add-ons de komende weken automatisch van een handtekening worden voorzien."
Ofwel, alle addon die ze nu al als veilig beschouwen zullen dat ook blijven. Ghostery en Adblock zullen deze handtekening zonder verdere inspectie toegekend krijgen.

Kortom dit zal eerder een simpele controle en bescherming zijn tegen injecties en het ongewenst veranderen van de homepage dan dat hier een dictatoriale filter zoals bij Apple onstaat.
WCA 11 februari 2015 14:12
Goede zaak! Malware verstopt zich steeds vaker in browserextensies.

Alhoewel ik wel graag de mogelijkheid zou willen hebben om de controle uit te schakelen.
Verwijderd @WCA11 februari 2015 14:16
Ik neem aan dat je net zoals in Chrome een "Developer mode" kunt inschakelen waarna je extensies zonder handtekening kunt inladen. Anders wordt het ontwikkelen van extensies wel heel erg lastig.
WCA @Verwijderd11 februari 2015 14:36
er zullen geen command-line-opties beschikbaar zijn om deze controle uit te schakelen.

Oftewel, ik zal een developerversie moeten installeren :P De gewone versie kan je geen ongesignde extensies op inladen (alhoewel ik snel een addon verwacht die dat wel kan :P)
goeroeboeroe @WCA11 februari 2015 15:02
Ik las in 'n forum op Mozilla van een van de ontwikkelaars al dat ze, naar aanleiding van reacties, denken aan 'n simpele knop of zo om een soort testdeel of zoiets voor add-ons toe te voegen aan de normale browser.
cyberstalker @Verwijderd11 februari 2015 14:38
Zoals ook in het artikel staat: "Om add-ons te ontwikkelen en te testen kunnen ze de nightly- en developer-versies van Firefox gebruiken waarin geen controlemechanisme voor signed add-ons is opgenomen."

Voor het ontwikkelen van extensies kun je dus een versie van Fx downloaden die installatie van alle extensies altijd toestaat.
xoniq @WCA11 februari 2015 14:15
Je kan nog wel buitenom installeren. Maar wil je ze direct uit de addon repo van Firefox, dan worden ze gevalideerd.
WCA @xoniq11 februari 2015 14:35
Je kan ze alleen buitenom installeren zodra ze door mozilla zijn gevalideerd ;)

Ontwikkelaars die add-ons buiten Mozilla's portal om willen aanbieden, worden niet buitengesloten. De browserbouwer zegt bewust geen 'walled garden' zoals de App Store of de Chrome App-omgeving te willen worden, maar betreffende ontwikkelaars dienen voortaan hun creaties wel te laten ondertekenen door deze te uploaden naar de signing-servers van Mozilla.
Spacialz 11 februari 2015 14:21
Mocht even duren, je mag best de ruimte geven voor vrije ontwikkeling maar zie hier het resultaat.

Nou heb ik ( en een hoop mede Tweakers) hier nooit last van malware/reclame door goed op te letten.

Echter zijn er familieleden (goh kun jij is even kijken naar laptopcomputterbeeldschermdinges) die hier wel in tuinen omdat ze ooit ergens gelezen hebben dat FF een fijnere browser is dan IE.
Verwijderd 11 februari 2015 14:58
Ik ben benieuwd wat er met verouderde extensies gebeurd. Deze werken officieel niet meer in recent FF versies, maar zijn toch aan de praat te krijgen door de manifest te editen. Deze zijn vast niet signed straks.

Voorbeeldje: oude Zend Debugger add-on.
MBI 11 februari 2015 15:27
Gelukkig worden bestaande add-ons op AMO door henzelf ge-signed.
•Extensions that are submitted for hosting on AMO and pass review will be automatically signed. We will also automatically sign the latest reviewed version of all currently listed extensions.

EDIT: Dat stond dus al in het bericht... Spuit 11 enzo.

[Reactie gewijzigd door MBI op 27 juli 2024 03:18]

Mentalist 11 februari 2015 16:46
Dealbreaker dit. Hopen dat Iceweasel dit niet overneemt.

Het is niet goed als Mozilla als enige partij gaat bepalen wat wel en niet goed is voor gebruikers. Natuurlijk, ik zie ook wel dat dit een prima manier is om malware tegen te houden - maar er zou een optie in about:config moeten zijn om dit uit te schakelen. Want als ik doelbewust een add-on wil installeren die de goedkeuring van Mozilla niet kan wegdragen, dan is dat uiteindelijk nog steeds mijn zaak.
WouterH 11 februari 2015 14:24
mooi !
Jammer dat het niet eerder was.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq