Firefox actualmente no tiene ningún método para comprobar que la actualización de sus extensiones (o complementos) se realiza de forma segura, posibilitando de hecho la inyección de código malicioso. En la versión 3 del navegador se utilizarán varios mecanismos, incluído el uso de SSL y de firmas digitales, con el fin de verificar la identidad, la autenticidad y la integridad de la actualización de dichos complementos. En inglés.
Yo pensaba que las actualizaciones se hacían desde la página oficial de extensiones de firefox https://addons.mozilla.org y por lo tanto serían seguras. Si no es así, entonces si que tiene cierto riesgo.
Las actualizaciones de las extensiones dependen únicamente de los autores, de hecho hay extensiones que sólo pueden descargarse desde las páginas web de los creadores. La configuración de cómo y qué se descarga está en el jar de la carpeta chrome que va incluído en cada .xpi
Yo no conozco tampoco ningún caso en que haya habido problemas (aunque en el texto de la noticia se dice que "A demonstration of one form of compromise is already public."), pero no se puede criticar la medida, el objetivo es la prevención.
Por cierto, para los que usen Greasemonkey, atención al mensaje que aparece en userscripts.org:
A malicious user is uploading scripts that steal cookies.
Extra caution is recommended when installing recently uploaded/updated scripts (http://userscripts.org/forums/3/topics/704)
Yo la verdad es que nunca me lo había planteado, pero bueno, es una buena noticia. Son esas cosas que no se ven cuando se actualiza el software pero que resultan muy interesantes.
A mi nunca me ha pasado nada raro, y mis amigos que a los que echo una mano de vez en cuando y les enseño lo que se alucinan cuando les pongo el Firefox, dicen, joder que rapido!
Por si no tardaban ya en validarte una versión de tu extensión...ahora mas lío
En fin, esperemos que no sea muy pesado el método nuevo, ya que los crackers van a seguir saltándoselo...pero la molestia perdurará.
Comentarios
Yo pensaba que las actualizaciones se hacían desde la página oficial de extensiones de firefox https://addons.mozilla.org y por lo tanto serían seguras. Si no es así, entonces si que tiene cierto riesgo.
Proyecto AddonUpdateSecurity
http://wiki.mozilla.org/User:Mossop:Fx-Docs:AddonUpdateSecurity
Foro MozillaZine
http://forums.mozillazine.org/viewtopic.php?p=2927908
Grupo mozilla.dev.tech.crypto
http://groups.google.com/group/mozilla.dev.tech.crypto/browse_thread/thread/fbdf314dc31abaa6/
Las actualizaciones de las extensiones dependen únicamente de los autores, de hecho hay extensiones que sólo pueden descargarse desde las páginas web de los creadores. La configuración de cómo y qué se descarga está en el jar de la carpeta chrome que va incluído en cada .xpi
Yo no conozco tampoco ningún caso en que haya habido problemas (aunque en el texto de la noticia se dice que "A demonstration of one form of compromise is already public."), pero no se puede criticar la medida, el objetivo es la prevención.
Por cierto, para los que usen Greasemonkey, atención al mensaje que aparece en userscripts.org:
A malicious user is uploading scripts that steal cookies.
Extra caution is recommended when installing recently uploaded/updated scripts (http://userscripts.org/forums/3/topics/704)
Yo la verdad es que nunca me lo había planteado, pero bueno, es una buena noticia. Son esas cosas que no se ven cuando se actualiza el software pero que resultan muy interesantes.
A mi nunca me ha pasado nada raro, y mis amigos que a los que echo una mano de vez en cuando y les enseño lo que se alucinan cuando les pongo el Firefox, dicen, joder que rapido!
¿No cabían más etiquetas en la noticia???
Pero esto... ¿le ha pasado a alguien?
Por si no tardaban ya en validarte una versión de tu extensión...ahora mas lío
En fin, esperemos que no sea muy pesado el método nuevo, ya que los crackers van a seguir saltándoselo...pero la molestia perdurará.