Voilà pourquoi Mozilla bloque les modules d’extension pour ce type de site web
- par Kenan
- , le 14 juillet 2023
- 19 h 54 min
Mozilla a annoncé que certains modules complémentaires pourraient être bloqués sur certains sites dans le cadre d’une nouvelle fonctionnalité appelée « Quarantined Domains » (domaines en quarantaine).
Nous avons introduit une nouvelle fonctionnalité en arrière-plan pour permettre à certaines extensions contrôlées par Mozilla de fonctionner sur des sites Web spécifiques pour diverses raisons, y compris des problèmes de sécurité », a déclaré la société dans ses notes de mise à jour pour Firefox 115.0 livrée la semaine dernière.
La société a déclaré que l’ouverture de l’écosystème des extensions pouvait être exploitée par des acteurs malveillants à leur avantage.
« Cette fonctionnalité nous permet d’empêcher les attaques d’acteurs malveillants ciblant des domaines spécifiques lorsque nous avons des raisons de croire qu’il peut y avoir des modules complémentaires malveillants que nous n’avons pas encore découverts », a déclaré Mozilla dans un document d’assistance séparé.
Les utilisateurs devraient avoir plus de contrôle sur les paramètres de chaque module complémentaire, à partir de la version 116 de Firefox. Cela dit, il est possible de le désactiver en chargeant « about:config » dans la barre d’adresse et en réglant « extensions.quarantinedDomains.enabled » sur false.
Ce développement s’ajoute à la capacité existante de Mozilla de désactiver à distance les extensions individuelles qui posent un risque pour la vie privée et la sécurité des utilisateurs.
Il convient de noter que l’avertissement apparaît dans la fenêtre contextuelle des extensions plutôt que sur l’icône des extensions dans la version actuelle, ce qui signifie que les alertes ne s’affichent pas si un module complémentaire est épinglé dans la barre d’outils.
« Il s’avère que lorsque vous épinglez une extension à la barre d’outils, elle n’apparaît plus dans la fenêtre contextuelle des extensions », a indiqué Jeff Johnson, chercheur en sécurité et développeur de modules complémentaires.
Par conséquent, l’avertissement relatif aux domaines en quarantaine n’apparaît plus non plus dans la fenêtre contextuelle des extensions. En fait, il n’y a plus de fenêtre contextuelle des extensions : en cliquant sur l’icône de la barre d’outils des extensions, on ouvre simplement la page about:addons, qui n’affiche nulle part l’avertissement relatif aux domaines en quarantaine ».
Il s’agit d’une conception d’interface utilisateur terrible pour la nouvelle fonction dite de « sécurité », qui désactive silencieusement les extensions tout en cachant l’avertissement à l’utilisateur », a ajouté M. Johnson.
Mozilla a déclaré qu’elle avait l’intention d’améliorer l’expérience de l’utilisateur dans les prochaines versions, bien qu’elle n’ait pas donné de calendrier définitif.