De flesta utvecklare lägger sina tilläggsprogram på https://addons.mozilla.org. Observera att det är https och inte http. Det innebär att det är en säker anslutning.
Men, det finns också många utvecklare som lägger sina tillägg på sina egna domäner, på osäkra anslutningar. Bland annat gör Google, Yahoo, Facebook och Del.icio.us på detta sätt. Deras tillägg går inte att hitta på Mozillas säkra sidor, utan måste alltså laddas ner osäkert.
Nu varnar Wired användare från att installera tillägg som kommer från osäkra anslutningar. De menar att detta skapar möjligheter för hackers att installera helt andra, skadliga, tillägg på användarnas datorer.
“Instead of sending back the new legitimate code or a message telling the extension that it is up to date, the rogue wireless connection (or compromised router) sends a new malicious extension that could let an attacker take over the browser and use the computer to send spam, attack other computers or steal the user’s passwords and sensitive information.”
Mozilla är medvetna om problemet och skriver på sin blogg att de rekommenderar alla utvecklare att lägga sina tillägg på säkra anslutningar, och att de kommer att arbeta med utvecklarna för att hitta lösningar på detta problem.
“Add-ons that are hosted on the Mozilla Add-ons site are served over HTTPS and validated with a hash. These add-ons are not vulnerable to this attack. We strongly recommend that add-on developers require SSL for updates to prevent the attack described above.”
Tyvärr går det inte att se i Firefox vilka tillägg som kommer från säkra anslutningar eller ej. Så det är svårt att veta vilka av de tillägg som man redan installerat som kommer från en osäker anslutning.
Andra bloggar om: firefox, tillägg, säkerhet
Ps. Glöm inte att uppdatera Firefox. En ny uppdatering har precis släppts som täpper till en del säkerhetsluckor och är bättre kompatibel med Windows Vista. Mer info.
