Software

Mozilla Firefox, stop al sideloading delle estensioni

Mozilla ha annunciato che a partire da marzo 2020, con la versione 74, gli utenti di Firefox non saranno più in grado di installare estensioni mediante i file XPI inseriti nell’apposita cartella, all’interno della directory di Firefox dell’utente.

Questo metodo, noto come sideloading, aveva la funzione di consentire agli sviluppatori di distribuire un’estensione di Firefox insieme alle proprie soluzioni desktop. Gli sviluppatori potevano configurare l’installer dell’app affinché inserisse un file d’estensione XPI all’interno della cartella del browser Firefox.

La rimozione del sideloading delle estensioni avviene per ragioni di sicurezza, secondo quanto affermato da Caitlin Neiman, Add-ons Community Manager di Mozilla.

“Questo tipo di estensioni [sideloaded] causano spesso problemi agli utenti dato che non scelgono esplicitamente di installarle ed è impossibile rimuoverle dal gestore dei componenti aggiuntivi. Questo meccanismo inoltre è stato usato in passato anche per installare malware in Firefox”.

Mozilla ha pianificato l’interruzione del supporto al sideloading nel corso del prossimo anno, in due fasi.

La prima partirà con il rilascio di Firefox 73 a febbraio 2020. Neiman afferma che Firefox continuerà a leggere le estensioni sideloaded, ma verranno lentamente convertite in normali componenti aggiuntivi all’interno del profilo utente di Firefox e rese disponibili nella sezione Componenti Aggiuntivi (Add-on).

A marzo 2020, con Firefox 74, il sideloading delle estensioni verrà completamente abbandonato. Mozilla spera che a quel punto tutte le estensioni sideloaded saranno state spostate nella sezione Componenti Aggiuntivi.

Con questo provvedimento, Mozilla spera di ripulire alcune installazioni malevoli di Firefox, dove gli autori hanno nascosto del malware in estensioni sideloading all’insaputa degli utenti. Poiché ogni estensione verrà visualizzata nella sezione Componenti Aggiuntivi, gli utenti saranno liberi di rimuovere qualsiasi cosa di cui non hanno bisogno o che non ricordano di aver installato.

Mozilla ha pubblicato un post sul blog nel quale raccomanda agli sviluppatori di aggiornare le proprie estensioni con sistemi di installazione alternativi. Ci sono attualmente due metodi attraverso i quali gli sviluppatori possono distribuire le estensioni e tramite i quali gli utenti possono installarle.

Il primo ed anche il più noto è l’installazione di estensioni dal portale ufficiale addons.mozilla.org (AMO). Tutto ciò che si trova al suo interno è verificato da Mozilla, perciò nella maggior parte dei casi affidabile e sicuro, anche se non sempre i controlli riescono a scongiurare al 100% tutti i contenuti dannosi.

Il secondo prevede l’uso dell’opzione “Installa componente aggiuntivo da file”, che si trova nella sezione Componenti aggiuntivi di Firefox. Gli utenti, dopo aver scaricato autonomamente un file di estensione XPI, accedono alla sezione Componenti aggiuntivi e quindi caricano l’estensione nel proprio browser mediante l’opzione “Installa componente aggiuntivo da file”. Questo metodo viene generalmente utilizzato in ambienti corporate, per il caricamento di estensioni che devono gestire dati aziendali sensibili, quindi non distribuibili tramite il portale AMO.

Prima di settembre 2018 era disponibile un ulteriore metodo d’installazione, poi rimosso con il rilascio di Firefox 62. Questo prevedeva la modifica delle chiavi di registro di Windows per caricare estensioni personalizzate insieme all’installazione di Firefox. Anche in questo caso, Mozilla ha deciso di rimuoverlo a causa di abusi da parte degli sviluppatori di malware.