Firefox : Mozilla procède à la signature numérique des extensions
Pour évincer de son écosystème les extensions malveillantes
Le 2015-06-02 11:38:11, par Hinault Romaric, Responsable .NET
La fondation Mozilla a débuté avec son opération de signature numérique des extensions pour son navigateur Firefox.
La firme a informé les développeurs la semaine dernière qu’elle procède à la signature automatique de leurs extensions qui ont été publiées sur sa galerie d’extensions Mozilla Add-On (AMO).
Une fois la signature effectuée, la fondation procédera automatiquement à des mises à jour pour fournir les nouvelles versions aux utilisateurs et informera les développeurs. Ceux-ci sont invités à procéder à un test de leurs extensions pour vérifier si elles fonctionnent correctement.
Deux nouvelles fonctionnalités seront activées sur AMO cette semaine. La première permettra de signer les nouvelles extensions de AMO après analyse. La seconde, à destination des développeurs qui ne souhaitent pas héberger leurs extensions sur AMO, leur permettra de soumettre leurs extensions pour signature.
En cas d’échec de la signature, les développeurs ont la possibilité de demander une vérification manuelle de l’extension par Mozilla. Pour les extensions destinées à des usages en intranet, Mozilla compte mettre en place un mécanisme pour leur vérification.
L’organisme invite par ailleurs les développeurs à consulter les nouvelles règles de « Add-on Distribution Developer Agreement » pour prendre connaissance de la nouvelle façon dont les extensions seront désormais gérées.
Lorsque la signature sera prise en compte dans Firefox, toutes les extensions qui n’ont pas été signées numériquement seront bloquées par le navigateur. La fondation fait savoir qu’elle laissera assez de temps aux développeurs pour s'y conformer avant que la mesure n’entre en vigueur.
Cette nouvelle mesure a pour objectif d’offrir une meilleure sécurité aux utilisateurs. Mozilla fait savoir que les développeurs ont abusé de cette fonctionnalité pour publier des extensions malveillantes, ou modifier les paramètres de Firefox sans le consentement de l’utilisateur.
« Nous sommes responsables de notre écosystème d’extensions, et nous ne pouvons pas rester les bras croisés alors que nos utilisateurs souffrent à cause de mauvaises extensions », avait expliqué Mozilla dans un billet de blog. « Une solution simple serait de forcer tous les développeurs à distribuer leurs extensions à partir de AMO comme c’est le cas pour les extensions Chrome. Cependant, nous pensons que c’est une contrainte inutile. Pour maintenir l’équilibre, nous avons opté pour une signature numérique des extensions, ce qui nous donnera un meilleur contrôle sur l’écosystème des extensions, sans obliger que AMO soit le seul canal de distribution. »
Pour le test des extensions pendant le développement, les développeurs seront obligés d’avoir recours à Firefox Nightly ou à la « Developer Edition », qui ne sont pas concernées par cette nouvelle mesure.
Source : Mozilla
La firme a informé les développeurs la semaine dernière qu’elle procède à la signature automatique de leurs extensions qui ont été publiées sur sa galerie d’extensions Mozilla Add-On (AMO).
Une fois la signature effectuée, la fondation procédera automatiquement à des mises à jour pour fournir les nouvelles versions aux utilisateurs et informera les développeurs. Ceux-ci sont invités à procéder à un test de leurs extensions pour vérifier si elles fonctionnent correctement.
Deux nouvelles fonctionnalités seront activées sur AMO cette semaine. La première permettra de signer les nouvelles extensions de AMO après analyse. La seconde, à destination des développeurs qui ne souhaitent pas héberger leurs extensions sur AMO, leur permettra de soumettre leurs extensions pour signature.
En cas d’échec de la signature, les développeurs ont la possibilité de demander une vérification manuelle de l’extension par Mozilla. Pour les extensions destinées à des usages en intranet, Mozilla compte mettre en place un mécanisme pour leur vérification.
L’organisme invite par ailleurs les développeurs à consulter les nouvelles règles de « Add-on Distribution Developer Agreement » pour prendre connaissance de la nouvelle façon dont les extensions seront désormais gérées.
Lorsque la signature sera prise en compte dans Firefox, toutes les extensions qui n’ont pas été signées numériquement seront bloquées par le navigateur. La fondation fait savoir qu’elle laissera assez de temps aux développeurs pour s'y conformer avant que la mesure n’entre en vigueur.
Cette nouvelle mesure a pour objectif d’offrir une meilleure sécurité aux utilisateurs. Mozilla fait savoir que les développeurs ont abusé de cette fonctionnalité pour publier des extensions malveillantes, ou modifier les paramètres de Firefox sans le consentement de l’utilisateur.
« Nous sommes responsables de notre écosystème d’extensions, et nous ne pouvons pas rester les bras croisés alors que nos utilisateurs souffrent à cause de mauvaises extensions », avait expliqué Mozilla dans un billet de blog. « Une solution simple serait de forcer tous les développeurs à distribuer leurs extensions à partir de AMO comme c’est le cas pour les extensions Chrome. Cependant, nous pensons que c’est une contrainte inutile. Pour maintenir l’équilibre, nous avons opté pour une signature numérique des extensions, ce qui nous donnera un meilleur contrôle sur l’écosystème des extensions, sans obliger que AMO soit le seul canal de distribution. »
Pour le test des extensions pendant le développement, les développeurs seront obligés d’avoir recours à Firefox Nightly ou à la « Developer Edition », qui ne sont pas concernées par cette nouvelle mesure.
Source : Mozilla