Firefox na začátku listopadu sáhl k razantnímu kroku a zablokoval doplňky, které spouštěly cizí kód stahovaný z internetu. V budoucích verzích se také omezí možnost doplňky do Firefox „podstrčit“.
Spouštění kódu třetích stran z internetu
Na začátku listopadu Mozilla přidala na černou listinu několik doplňků, které spouštěly na stránkách kód třetích stran automaticky stahovaný z internetu. Obecně takovéto chování představuje bezpečnostní riziko, protože nikdo (Mozilla, autor rozšíření ani uživatel) nad takovými skripty nemá vůbec žádnou moc a nemůže spolehlivě zkontrolovat jejich obsah, protože se mohu kdykoliv změnit (nebo je někdo záměrně může změnit). Nejcitelněji se to dotklo některých doplňků pro překlady, které do stránek přidávaly skripty ze služby Google Translator. Je dobré zmínit, že podobné praktiky vkládání skriptů Mozilla už delší dobu u položek nahraných na server s doplňky nepovoluje. Na černou listinu se tak dostaly doplňky, které byly distribuovány jinými než oficiálními kanály.
Pokud se toto bezpečnostní omezení dotklo nějakého vámi nainstalovaného doplňku pro překlad stránek, přečtěte si tento článek nápovědy, který vám pomůže najít alternativu.
Automatická instalace ze složky i bez vědomí uživatele
Rozšíření dnes můžete instalovat do Firefoxu třemi způsoby:
- z oficiálního serveru addons.mozilla.org,
- ze souboru pomocí správce doplňků (tak jsou instalovány doplňky zmiňované výše),
- vložením souboru s rozšířením do speciální složky (tzv. sideloading).
Poslední možnost Firefox 73 a 74 zablokuje. Podobně jako spouštění cizího kódu zmiňované výše, tak i instalace rozšíření z adresáře je rizikové, protože ho tam mohl podstrčit kdokoliv (nebo cokoliv). Konkrétně verze 73 přesune takto instalovaná rozšíření do běžného umístění v profilu, jako by bylo rozšíření nainstalované běžným způsobem, čímž zajistí, že o svá rozšíření nepřijdete. A verze 74 definitivně podporu pro sideloading vypne. Pro potřeby nasazování Firefoxu ve firemním prostředí je k dispozici instalace pomocí podnikových pravidel.