忘れられた

MMMhhhh ... sono un po' perplesso e preoccupato.

La maggior parte delle estensioni (e TUTTE quelle utili, a partire da AD Blocker e anche l'ufficiale per i Multi Container) hanno, nella sezione Permissions, questa dicitura:

"Access your data for all websites"

Se clicchi su "Learn More" si apre una lunga spiegazione di tutti i permessi concedibili alle estensioni.

E riguardo a questo specifico permesso troviamo scritto questa inquietante precisazione:

Ecco, delle pagine che apro e di quel che digito in un motore di ricerca non mi preoccupa particolarmente.. ma quella cosa evidenziata e sottolineata la trovo potenzialmente un rischio immenso per la sicurezza dei propri account on-line.

Cioè: leggere e scrivere i dettagli di ogni volta che ci logghiamo da qualche parte, password comprese! Vi rendete conto di che vuol dire ?

E perché un ad-blocker o un manager di tab/container deve avere i permessi di poter leggere liberamente dati così sensibili e critici a livello di sicurezza ?

Avevate mai letto questa sezione sul sito di Mozilla ?
Che ne pensate ?

Sheev Palpatine

Non ci avevo fatto caso. E' uno schifo soprattutto il fatto che dicono "potrebbero". A livello tecnico non so se sia possibile fare a meno di questo tipo di autorizzazioni per una pagina web, ma d'altra parte, ormai solo su firefox questi adblocker funzionano bene. Su Chrome e sui vari altri browser chromium non funzionano

Alakazam

L'importante è che per le cose importanti hai 2FA. Poi al massimo fai partire una pagina private senza estensioni.
Alla fine siamo sempre là, devi scegliere tra comodità e sicurezza.
Non credo cmq che quelle famose ti rubano le password.

忘れられた

Ma più che di quello (per le estensioni dimostratesi affidabili negli anni) a me preoccupano più bug ed eventuali leaks..che ne capitano di continuo anche a realtà ben più ricche (vedi carte di credito e colossi on-line, INPS, poste.. )

Inoltre, ripeto: perché un tab/container manager o un AD Blocker deve aver accesso alle cose che digito nei campi di input di una pagina web (non nella barra degli indirizzi) ? Non c'è alcun motivo oggettivo.. è solo un GROSSO problema critico di sicurezza.

Alakazam

Lo fa se ti offre un password manager, altrimenti non lo fa.

忘れられた

Sì, un'estensione "onesta" e "affidabile" non DOVREBBE farlo, ecco.. più che altro.

Ma l'API delle estensioni mette a disposizione liberamente quei dati che - a parte ad un password manager (che non userei MAI in un browser o app online) non servono a nessun altra estensione.

Dovrebbero creare un permesso specifico per quello, che espone i dati più sensibili e personali.. e una versione "ridotta" che accede a tutto quello che digiti nella barra indirizzi e quel che c'è scritto nelle pagine web a cui accedi, ma non nei campi di input dove inserisci i dati - tipo per un login -

Sheev Palpatine

Diciamo che stai ponendo la domanda nel modo sbagliato. Firefox è completamente open source, tu puoi scaricarti il codice e leggere tutto quello che fa.
Vale lo stesso per tutte quasi tutte le estensioni (inclusi i vari adblock).
Sei libero di leggere il codice e sapere esattamente cosa fanno sia il browser che l'estensione.
Il problema? Se non sei un informatico non sei in grado di farlo (nemmeno io lo sono e non posso farlo).
La differenza con Google Chrome e gli altri è proprio questa. Lì tu non puoi leggere il codice, quindi non sai concretamente cosa fanno nel tuo computer. E qui entreremmo nel discorso open source e software proprietario...

忘れられた

Open-source o non open-source.. i punti rilevanti sono:

1) Nessuno si va a leggere tutto il codice delle estensioni.. figurarsi di Mozilla Firefox (credo sia un'impresa impossibile, visto la vastità del progetto).

Per cui ci si affida al buonsenso e alla "fiducia".

2) Se lasci potenzialmente a QUALSIASI ESTENSIONE la possibilità di leggere dati sensibili (qui si parla di password e nome utente di ogni pagina che visiti, non bruscolini ).. beh.. un GROSSO problema di privacy e sicurezza c'è (anche perché - a parte un password manager - NESSUNA ESTENSIONE ha bisogno di aver accesso a quelle informazioni privatissime).

E' un po' come partire per un mese di vacanza e lasciare la porta di casa aperta, tanto sai che nella tua città è tutta brava gente e non c'è rischio

3) Che un codice sia open-source non significa che sia ben scritto e sicuro al 100%. E i leaks ormai sono all'ordine del giorno, per cui che quei dati estremamente privati e sensibili siano ESPOSTI a TUTTE le estensioni .. per me rappresenta un problema non di poco conto. E per risolverlo basterebbe pure poco, cioè creare una policy specifica per l'accesso a quei dati (di cui il 99,999999 % delle estensioni non necessita per funzionare)

Sheev Palpatine

Si, sarei d'accordo anch'io che l'accesso a questo tipo di dati andrebbe limitato.

Alakazam

Vabbè ma non penso che tu sia il primo ad affrontare questo discorso? Hai trovato altre discussioni in giro?

忘れられた

Non si trova molto a riguardo. 2 o 3 discussioni senza molto seguito e nessuna chiarificazione ufficiale.

Persone con gli stessi dubbi e perplessità che ho espresso io, ma lato mozilla quella pagina (senza altre informazioni) è tutto quello che ha messo a disposizione.

E' una zona grigia, che riguarda pure tutti gli altri browser basati su Firefox.

Tieni presente che è un problema che riguarda pure i Container (visto che la funzione è supportata tramite estensione - ufficiale - che ha proprio quel tipo di privilegio), e gli AD blocker: quindi gli strumenti che più di tutti dovrebbero tutelare la privacy sono in realtà quelli che più espongono ai rischi.

Una API che mette a disposizione delle estensioni IN CHIARO (non c'è criptatura) password e username di ogni pagina a cui accedi mi pare la cosa meno sicura e safe-proof che possa esistere, oggigiorno.