Mozilla将禁止含有混淆代码的组件

22.png

Mozilla商店将禁止包含混淆代码的Firefox组件上架,作为浏览器安全策略的一部分,该政策旨在消除第三方恶意代码给用户带来的威胁。

6月10日,Mozilla将正式开始拒绝无视新规则的Firefox组件上架。含有混淆代码的组件的开发人员应该在代码修改后重新提交组件。

违反策略的组件将被拦截

Caitlin Neiman,Mozilla组件的社区经理,在近期表示,缩略、精简以及其他由机器生成的代码如果开源,那也符合新政策。

代码混淆是一种经常被用在恶意软件中的技术,旨在在不影响软件功能的情况下,隐藏其真实功能。人类很难直接读懂混淆后的代码,往往需要多次编码转换,才能了解其本来面貌。

Neiman表示,不久后。Mozilla的用户会发现无法在浏览器中使用带有混淆代码的组件。

“我们将投入大量的资源去检测是否有组件违反了我们的安全政策,同时确保用户自身的安全不会受到新政策的影响”。

将于6月10日生效的安全策略的详情可在此处查看。

不同的拦截级别

如出现违法政策的情况,根据实际情形,制裁措施可轻可重。如果某插件只是违反了和浏览器稳定性相关的策略,没有违反重大安全策略,此时浏览器可能会禁用它,但用户仍可以强制启用。

而一旦某组件出现严重的违反安全策略的行为(如下所示),那么无论如何它都不可再被启用。

故意违反安全政策
存在重大安全漏洞
泄露用户隐私
故意规避用户控制

“我们将继续拦截那些故意违反政策、存在严重的安全漏洞的组件。而对于那些侵犯用户隐私或在未经用户许可的情况下进行敏感操作的组件将进行严厉的制裁”。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/mozilla-to-disable-firefox-add-ons-with-obfuscated-code/

查看原文