Mozilla prestes a mudar a segurança de sua página de extensões

Todo mês, diversas novas extensões são enviadas para a página addons.mozilla.org. Algumas criativas, outras úteis e outras, às vezes, mal intencionadas. O problema é que todas ficam disponíveis logo que são enviadas, sob a categoria "experimentais", para depois só então serem consideradas "normais" quando passam por uma análise de seu código pelo pessoal da Mozilla. Mas se tem uma coisa que certas pessoas gostam é saber de tudo antes, por isso a insígnia de experimental é lida como BAIXE-ME AGORA, mesmo que seu conteúdo seja altamente duvidoso.

Você continua a ver pontinhos, enquanto sua novíssima extensão já sabe até seu telefone.

Um add-on chamado Mozilla Sniffer, enviado no dia 9 de junho, teve seu código analisado (e adicionado à lista de bloqueados) só no dia 12 de julho. A extensão, que se apresentava como uma versão modificada de outra extensão (TamperData), garimpava qualquer login transmitido via Firefox e o enviava a um endereço remoto alheio ao site que era acessado. Ela teve, nesse meio tempo, cerca de 1800 downloads e aproximadamente 300 usuários diários. A Mozilla já recomendou a esses usuários a desinstalação imediata, bem como a alteração de suas senhas assim que possível.

Outra extensão chamada CoolPreviews não era exatamente mal-intencionada, mas seu código deixava o sistema (ao contrário das extensões do Google Chrome, as do Firefox são capazes de acessar partes externas ao navegador) vulnerável a qualquer site que criasse um link malicioso especialmente programado para explorar a falha do add-on. Neste caso houve um final feliz, já que o criador foi notificado e a correção foi enviada no dia seguinte. No entanto, cerca de 170 mil usuários ainda estão com a versão "impura" instalada. Eles também estão sendo alertados e em breve a extensão será proibida de rodar em conjunto com o navegador, através da tal blocklist.

A Mozilla, com esses dois casos, percebeu que o sistema atual do site permite que muitas extensões perigosas se tornem baixáveis, mesmo só aparecendo quando o visitante opta por visualizá-las e instalá-las. Por isso, a ideia agora é só permitir que a visualização dessas extensões, sejam elas novas ou atualizações de outras já veteranas, ocorra quando seu código for inspecionado, mas sem afetar sua disponibilidade para desenvolvedores e testers, que ainda terão acesso por um link direto. Outros novos processos ainda permitem acelerar o tempo de revisão da extensão e estão detalhados aqui (em inglês).

O "caso" parece correr bem rápido, já que afinal grande parte dos usuários do Firefox diz estar lá por essas belezas que são as extensões dele e a Mozilla não está disposta a perdê-los por mera liberdade dada a mais num de seus sites. Vale lembrar que o Chrome não está 100% limpo dessa, já que uma prova de conceito divulgada aqui (também em inglês) mostra que, mesmo sendo feitas apenas de HTML e Javascript, extensões do navegador da Google podem também capturar senhas de usuários.

[via ZDNet]