Firefox è un browser molto diffuso, si parla di uno share del 30% degli utenti della Grande Rete, ma ha ricevuto recentemente parecchie critiche sul lato dell'affidabilità. Mozilla ha quindi deciso di migliorarne la stabilità, la sicurezza e le performance, come annunciato verso la fine dello scorso anno, abilitando la feature "Click To Play", che bloccherà di fatto i plug-in più vulnerabili.
È abbastanza noioso dover confermare ogni volta l'affidabilità di un plug-in, anche perché noi possiamo saperne ben poco di cosa fa davvero dietro le quinte...
Sul blog di Mozilla si legge infatti che "I plugin sono una fonte di scarse performance, crash e vulnerabilità alla sicurezza". Il nuovo "Click to Play" blocca l'esecuzione di tutti i plugin in modo automatico, anche a costo di rendere la cosa piuttosto fastidiosa per l'utenza. Per evitare troppi disagi, però, il team di sviluppo ha deciso di creare una lista bianca di plug-in che non saranno bloccati di default.
I criteri per rientrare nella "whitelist" sono vari, e richiedono che gli autori rispondano a determinati criteri di sicurezza e dovranno inviare una richiesta usando un template apposito a BugZilla, rispondendo a vari test di QA.
La funzione diventerà operativa a partire da Firefox 30, quindi gli autori hanno un po' di tempo per evitare potenziali esclusioni dalla lista permessa; tuttavia dovranno mantenere alta la guardia perché la validità della presenza nella lista varrà per le quattro versioni successive del browser, una volta passate le quali bisognerà sottoporre nuovamente l'estensione per ottenere di nuovo la validazione del plugin.
Plug-in come Adobe Flash sono già stati inclusi nella white list adducendo che "i team di sicurezza e dei plugin lavorano a stretto contatto con Adobe per assicurare che gli utenti siano protetti da instabilità o problemi di sicurezza del plugin Flash", mentre come già accennato Java sarà escluso a priori dati i suoi continui problemi di sicurezza e di performance.
Concludiamo informandovi che anche Google Chrome si è già mosso nella medesima direzione, già da Gennaio sono infatti stati bloccati tutti i plugin tipo NPAPI salvo Silverlight, Unity, Google Earth e Facebook Video.