Mozilla veut sécuriser ses extensions

Changement de cap pour la gestion des extensions sur Firefox : après avoir laissé les développeurs entièrement libres de proposer leurs propres addons, Mozilla entend maintenant valider les extensions disponibles afin de s’éviter les pratiques de certains développeurs peu scrupuleux.

Mozilla entend exercer plus de contrôle sur l’écosystème d’extension disponible sur son navigateur Firefox. Si jusqu’à maintenant, les développeurs pouvaient proposer librement des extensions venant se greffer au navigateur Firefox sans nécessiter de vérification de la part de Mozilla, la fondation annonce maintenant vouloir changer ce modèle.

La faute revient aux « extensions qui changent la page d’accueil ou les configurations de la barre de recherche sans l’avis de l’utilisateur », devenues communes, tout comme les extensions injectant directement de la publicité dans les pages visitées par l’internaute.

Les extensions proposées directement sur la page « Modules » proposée sur Firefox sont rarement en cause relève la fondation, mais la possibilité laissée aux développeurs d’extension de diffuser leurs extensions via leurs propres systèmes pose en revanche souvent problème et conduit à diffuser des extensions ne respectant pas les guidelines fournies par Mozilla. La fondation note également que « les développeurs malintentionnés ont découvert de nouveaux moyens pour que leurs extensions échappent à la détection et au blocage, ce qui rend notre travail plus difficile. »

Processus de vérification automatisé ou humain

« Nous sommes responsables de notre écosystème et nous ne saurions rester assis à ne rien faire tandis que nos utilisateurs souffrent de ces mauvaises extensions » explique Mozilla. Et la fondation détaille les mesures prises pour remédier au problème : deux solutions seront possibles, d’un coté passer comme auparavant par l’approbation de la fondation pour être distribué via la page Modules de Firefox.

De l’autre, il sera toujours possible de distribuer soi même son extension, mais celle-ci devra être soumise à l’approbation de la fondation, via un processus de vérification automatisé ou humain qui conférera à l’extension une signature électronique nécessaire pour ne pas être bloquée par le navigateur. Mozilla évoque également une troisième possibilité, réservée aux extensions ayant vocation à rester en interne, au sein d’une entreprise par exemple, mais ne donne pour l’instant pas plus de détails sur le sujet.

Il sera néanmoins possible de continuer à tester des extensions non signées sur les versions Nightlies ou Developpers de Firefox, afin de faciliter les tests. Ce changement devrait être mis en œuvre à compter de la sortie de Firefox 39 et la fondation aimerait voir le système mis en place aux alentours du deuxième trimestre de cette année.

Le projet débutera avant tout sur une période de transition : les utilisateurs disposant d’extensions non signées seront tout d’abord exposés à de simples messages d’avertissements. Ce système d’avertissement sera également conservé dans le système final, afin de laisser le temps à un développeur qui lance une nouvelle extension de se faire connaitre auprès de la fondation et de faire approuver son extension.

Source

Cet article, publié dans Uncategorized, est tagué . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s