Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

MMMhhhh ... sono un po' perplesso e preoccupato.

La maggior parte delle estensioni (e TUTTE quelle utili, a partire da AD Blocker e anche l'ufficiale per i Multi Container) hanno, nella sezione Permissions, questa dicitura:

"Access your data for all websites"

Se clicchi su "Learn More" si apre una lunga spiegazione di tutti i permessi concedibili alle estensioni.

E riguardo a questo specifico permesso troviamo scritto questa inquietante precisazione:

Ecco, delle pagine che apro e di quel che digito in un motore di ricerca non mi preoccupa particolarmente.. ma quella cosa evidenziata e sottolineata la trovo potenzialmente un rischio immenso per la sicurezza dei propri account on-line.

Cioè: leggere e scrivere i dettagli di ogni volta che ci logghiamo da qualche parte, password comprese! Vi rendete conto di che vuol dire ?

E perché un ad-blocker o un manager di tab/container deve avere i permessi di poter leggere liberamente dati così sensibili e critici a livello di sicurezza ?

Avevate mai letto questa sezione sul sito di Mozilla ?
Che ne pensate ?

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

Non ci avevo fatto caso. E' uno schifo soprattutto il fatto che dicono "potrebbero". A livello tecnico non so se sia possibile fare a meno di questo tipo di autorizzazioni per una pagina web, ma d'altra parte, ormai solo su firefox questi adblocker funzionano bene. Su Chrome e sui vari altri browser chromium non funzionano

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

L'importante è che per le cose importanti hai 2FA. Poi al massimo fai partire una pagina private senza estensioni.
Alla fine siamo sempre là, devi scegliere tra comodità e sicurezza.
Non credo cmq che quelle famose ti rubano le password.

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

Ma più che di quello (per le estensioni dimostratesi affidabili negli anni) a me preoccupano più bug ed eventuali leaks..che ne capitano di continuo anche a realtà ben più ricche (vedi carte di credito e colossi on-line, INPS, poste.. )

Inoltre, ripeto: perché un tab/container manager o un AD Blocker deve aver accesso alle cose che digito nei campi di input di una pagina web (non nella barra degli indirizzi) ? Non c'è alcun motivo oggettivo.. è solo un GROSSO problema critico di sicurezza.

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

Lo fa se ti offre un password manager, altrimenti non lo fa.

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

Sì, un'estensione "onesta" e "affidabile" non DOVREBBE farlo, ecco.. più che altro.

Ma l'API delle estensioni mette a disposizione liberamente quei dati che - a parte ad un password manager (che non userei MAI in un browser o app online) non servono a nessun altra estensione.

Dovrebbero creare un permesso specifico per quello, che espone i dati più sensibili e personali.. e una versione "ridotta" che accede a tutto quello che digiti nella barra indirizzi e quel che c'è scritto nelle pagine web a cui accedi, ma non nei campi di input dove inserisci i dati - tipo per un login -

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

Diciamo che stai ponendo la domanda nel modo sbagliato. Firefox è completamente open source, tu puoi scaricarti il codice e leggere tutto quello che fa.
Vale lo stesso per tutte quasi tutte le estensioni (inclusi i vari adblock).
Sei libero di leggere il codice e sapere esattamente cosa fanno sia il browser che l'estensione.
Il problema? Se non sei un informatico non sei in grado di farlo (nemmeno io lo sono e non posso farlo).
La differenza con Google Chrome e gli altri è proprio questa. Lì tu non puoi leggere il codice, quindi non sai concretamente cosa fanno nel tuo computer. E qui entreremmo nel discorso open source e software proprietario...

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

Open-source o non open-source.. i punti rilevanti sono:

1) Nessuno si va a leggere tutto il codice delle estensioni.. figurarsi di Mozilla Firefox (credo sia un'impresa impossibile, visto la vastità del progetto).

Per cui ci si affida al buonsenso e alla "fiducia".

2) Se lasci potenzialmente a QUALSIASI ESTENSIONE la possibilità di leggere dati sensibili (qui si parla di password e nome utente di ogni pagina che visiti, non bruscolini ).. beh.. un GROSSO problema di privacy e sicurezza c'è (anche perché - a parte un password manager - NESSUNA ESTENSIONE ha bisogno di aver accesso a quelle informazioni privatissime).

E' un po' come partire per un mese di vacanza e lasciare la porta di casa aperta, tanto sai che nella tua città è tutta brava gente e non c'è rischio :D

3) Che un codice sia open-source non significa che sia ben scritto e sicuro al 100%. E i leaks ormai sono all'ordine del giorno, per cui che quei dati estremamente privati e sensibili siano ESPOSTI a TUTTE le estensioni .. per me rappresenta un problema non di poco conto. E per risolverlo basterebbe pure poco, cioè creare una policy specifica per l'accesso a quei dati (di cui il 99,999999 % delle estensioni non necessita per funzionare)

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

Si, sarei d'accordo anch'io che l'accesso a questo tipo di dati andrebbe limitato.

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

Vabbè ma non penso che tu sia il primo ad affrontare questo discorso? Hai trovato altre discussioni in giro?

Re: Mozilla e le estensioni (potenziale problema immenso sicurezza)
 

Non si trova molto a riguardo. 2 o 3 discussioni senza molto seguito e nessuna chiarificazione ufficiale.

Persone con gli stessi dubbi e perplessità che ho espresso io, ma lato mozilla quella pagina (senza altre informazioni) è tutto quello che ha messo a disposizione.

E' una zona grigia, che riguarda pure tutti gli altri browser basati su Firefox.

Tieni presente che è un problema che riguarda pure i Container (visto che la funzione è supportata tramite estensione - ufficiale - che ha proprio quel tipo di privilegio), e gli AD blocker: quindi gli strumenti che più di tutti dovrebbero tutelare la privacy sono in realtà quelli che più espongono ai rischi.

Una API che mette a disposizione delle estensioni IN CHIARO (non c'è criptatura) password e username di ogni pagina a cui accedi mi pare la cosa meno sicura e safe-proof che possa esistere, oggigiorno.