Pytanie w tytule nie jest bezpodstawne...Firefox słynie z tego, że jest przeglądarką, której funkcjonalność i bezpieczeństwo są bardzo konfigurowalne ze względu na ogromne ilości dodatków. Nie od dziś wiadomo, że niektóre z nich są mało przydatne, inne bezużyteczne...a jeszcze inne mało bezpieczne, bo napisane były niechlujnie lub wprost wymyślone, by szkodzić. Takie dodatki po jakimś czasie są usuwane i zapominane...gorzej jeśli zaczynamy mówić o znanych od lat i uznanych dodatkach, których miliony używają w przekonaniu, że są zaufane i bezpieczne.
Nieco zamieszania wprowadzają w tej tematyce informacje zaprezentowane na przełomie marca i kwietnia na konferencji Black Hat Asia 2016 w prezentacji "Automated Detection of Firefox Extension-Reuse Vulnerabilities". Prezentacja nawiązuje do opublikowanego w lutym raportu pt. "CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities". W czym tkwi rewelacja?...otóż badacze przeanalizowali ponad 2000 dodatków do Firefoxa, z czego 10 najbardziej popularnych szczegółowo i okazało się, że odkryto wspólną dla wszystkich podatność nazwaną "extension-reuse" (ponownego/powtórnego użycia/wykorzystania?). Dokonano tego badając odporność na w sumie 351 podatności, przy czym
- 96 to FP
- 204 uruchamiane były ręcznie
- 51 uruchamiane automatycznie
Podatność polega na wykorzystaniu wewnętrznej struktury Firefoxa, w której pod pozorem legalnego działania dodatku może być ukryta niebezpieczna aktywność dodatku sfałszowanego. W efekcie dojść może do kradzieży poufnych danych, jak dane logowania czy teksty wiadomości.
Źródło
Najmniej pocieszające jest to, że wśród podatnych "TOP 10" dodatków podatne okazały się takie jak, np. NoScript czy WOT...
Źródło (i pełny raport)
Nieco zamieszania wprowadzają w tej tematyce informacje zaprezentowane na przełomie marca i kwietnia na konferencji Black Hat Asia 2016 w prezentacji "Automated Detection of Firefox Extension-Reuse Vulnerabilities". Prezentacja nawiązuje do opublikowanego w lutym raportu pt. "CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities". W czym tkwi rewelacja?...otóż badacze przeanalizowali ponad 2000 dodatków do Firefoxa, z czego 10 najbardziej popularnych szczegółowo i okazało się, że odkryto wspólną dla wszystkich podatność nazwaną "extension-reuse" (ponownego/powtórnego użycia/wykorzystania?). Dokonano tego badając odporność na w sumie 351 podatności, przy czym
- 96 to FP
- 204 uruchamiane były ręcznie
- 51 uruchamiane automatycznie
Podatność polega na wykorzystaniu wewnętrznej struktury Firefoxa, w której pod pozorem legalnego działania dodatku może być ukryta niebezpieczna aktywność dodatku sfałszowanego. W efekcie dojść może do kradzieży poufnych danych, jak dane logowania czy teksty wiadomości.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
Najmniej pocieszające jest to, że wśród podatnych "TOP 10" dodatków podatne okazały się takie jak, np. NoScript czy WOT...
[Aby zobaczyć linki, zarejestruj się tutaj]
Źródło (i pełny raport)
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"