Mozilla ha advertido sobre el endurecimiento de las reglas del catálogo de complementos para Firefox ( Mozilla AMO) para contrarrestar la colocación de complementos maliciosos.

Pues a partir del 10 de junio del 2019 (año en curso), estará prohibido colocar en el catálogo complementos que utilicen métodos de ofuscación, es decir complementos que utilicen métodos tales como empaquetar el código en bloques Base64 u otros métodos.

Al mismo tiempo, las técnicas de minimización de código (abreviatura de los nombres de variables y funciones, combinación de archivos JavaScript, eliminación de espacios adicionales, comentarios, saltos de línea y separadores) siguen estando permitidas, pero si, además de la versión minimizada, se adjunta el código fuente completo al complemento.

Firefox recomienda a los desarrolladores que utilicen técnicas de ofuscación o minimización de código que publiquen una nueva versión antes del 10 de junio que cumpla con las reglas actualizadas de AMO e incluya el código fuente completo de todos los componentes.

Después del 10 de junio, los complementos problemáticos se bloquearán en el directorio y las instancias ya instaladas se desactivarán en los sistemas de los usuarios mediante la distribución de la lista negra.

Además, se continuará con la práctica de bloquear los sistemas instalados en los sistemas de los usuarios con complementos instalados que contienen vulnerabilidades críticas, violar la confidencialidad y realizar acciones sin el consentimiento o control del usuario.

Mozilla tomara acciones contra los que no cumplan las reglas

En general, los desarrolladores son libres de mantener sus complementos en la forma que elijan.

Sin embargo, para mantener la seguridad de datos adecuada y revisar efectivamente el código, Mozilla solicita ciertos requisitos técnicos que todos los complementos deben cumplir.

• Los complementos solo deben solicitar los permisos necesarios para la función
• Los complementos deben ser autónomos y no cargar código remoto para su ejecución
• Los complementos deben utilizar canales cifrados para enviar datos confidenciales del usuario
• Los complementos deben evitar incluir archivos duplicados o innecesarios
• El código adicional debe escribirse de manera que sea revisable y comprensible. Los revisores pueden pedirle que refactorice partes del código si no es revisable.
• Los complementos no deben afectar negativamente el rendimiento o la estabilidad de Firefox.
• Solo las versiones de lanzamiento de bibliotecas y / o marcos de terceros pueden incluirse con un complemento. No se permiten modificaciones a estas bibliotecas / marcos.

Dependiendo de la naturaleza de la violación de la política, Mozilla utilizará diferentes tipos de bloqueos.

Con un “hard block”, el complemento está deshabilitado en Firefox y los usuarios no pueden anular el bloqueo. Esta acción está reservada para complementos con las siguientes características:

• Parece que están violando intencionalmente
• Contienen vulnerabilidades críticas de seguridad.
• Comprometen la privacidad de los usuarios.
• Eluden severamente el consentimiento o control del usuario.

Un Soft Software Lock deshabilitará un complemento predeterminado, pero permitirá al usuario reemplazarlo y continuar usándolo. Dicho bloqueo se utiliza para complementos con las siguientes características:

• Causan serios problemas de estabilidad y rendimiento en Firefox.
• Contienen violaciones de política no críticas.

Los complementos que parecen ser clones, repeticiones o copias cercanas a complementos ya bloqueados también se eliminarán.

Si un problema afecta solo a un subconjunto de versiones, el bloqueo puede aplicarse específicamente a las versiones afectadas. Los complementos que contienen código oculto o ilegible también se bloquearán.

“Cuando decidimos bloquear un complemento, podemos contactar al desarrollador si creemos que el problema se puede resolver.

Como la seguridad del usuario puede estar en juego, pedimos a los desarrolladores que respondan dentro de tres días. Si no se recibe una respuesta dentro de este plazo o si el desarrollador no puede resolver el problema, podemos continuar con el bloqueo.

“Más generalmente, no contactaremos a los desarrolladores antes de bloquear si resulta que el complemento infringe intencionalmente nuestras políticas o si la infracción es lo suficientemente grave”.

Mozilla dijo que la estrategia fue diseñada para ayudarlo a manejar mejor las extensiones maliciosas:

“Cuando decidimos bloquear un complemento en Firefox, nos preguntamos si el riesgo es tal que exceda la elección de El usuario debe instalar el software, la utilidad que proporciona, así como la libertad del desarrollador para distribuir y controlar su software. “Si nos encontramos en una situación en la que no podemos tomar una decisión clara, buscaremos la seguridad para proteger al usuario”.

Fuente: https://developer.mozilla.org

El artículo Mozilla ahora prohibirá las exenciones con código oculto o ofuscado ha sido originalmente publicado en Linux Adictos.