為了避免側載入(Sideloading)擴充套件可能造成的安全問題,Mozilla決定從Firefox 73開始,提供更多的側載入擴充套件控制選項,讓使用者也可以在一般擴充套件管理器中,管理側載入擴充套件,並在明年3月發布的Firefox 74正式停止支援側載入擴充套件。

側載入是透過將可執行應用程式安裝器複製到特定的位置,為Firefox安裝擴充套件的方法,而這個方法會為電腦上所有Firefox實例安裝該擴充套件,但側載入的擴充套件有時候會對使用者產生困擾,因為使用者無法自行決定安裝與否,而且也沒辦法從擴充套件管理器中刪除。

過去曾經有惡意軟體利用這個機制,來入侵用戶的Firefox,Mozilla提到,他們從Firefox 68加入的濫用回報功能中發現,回報次數第一名的問題就是未經同意地安裝擴充套件,而且這些擴充套件無法被移除,已知回報的擴充套件都是經過側載入方法發布的。

因此Mozilla決定從2019年12月3日發布的Firefox 73開始做出更改,Firefox雖然會繼續讀取旁載入檔案,但是這些檔案會被複製到用戶的個人資料中,作為一般擴充套件安裝,並且從明年3月10日發布的Firefox 74開始,Firefox將不再支援側載入擴充套件。Firefox73是個過渡版本,已經安裝的擴充套件不會消失,但是Mozilla使整個安裝過程更加透明,使用者可以明確同意或拒絕擴充套件安裝,且能夠在需要的時候移除。

企業管理員還是可以繼續透過政策,向使用者部署擴充套件不受影響,會受到影響的是部分形式的自動擴充套件部署,像是部分Linux發布版本和像是網頁瀏覽器自動化Selenium這些應用程式。Mozilla仍持續在研究技術細節,嘗試找到對用戶影響最小的調整方式。

不過目前確定的是,側載入發布的擴充套件開發者,需要更新安裝流程,並且引導使用者從addons.mozilla.org或是其他網路媒體資源下載擴充套件。


熱門新聞

Advertisement