Mozilla wijst op risico van remote code bij Chrome-extensies
Google Chrome staat toe dat extensies van een remote locatie code kunnen downloaden en uitvoeren, wat een risico voor gebruikers is, zo waarschuwt Mozilla. Onlangs kondigde Google verschillende beveiligingsmaatregelen aan om de veiligheid van Chrome-extensies te verbeteren.
Zo kunnen Chrome-gebruikers de toegang van extensies tot bepaalde websites beperken en zullen extensies strenger worden gecontroleerd. Verder heeft Google het gebruik van geobfusceerde code in extensies verboden en zijn extensie-ontwikkelaars straks verplicht om via 2-stapsverificatie in te loggen. Mozillas Mike Conca prijst de aangekondigde maatregelen, maar stelt ook dat Google op bepaalde vlakken een stap verder had kunnen gaan.
Binnen Firefox is het bijvoorbeeld voor extensies verboden om remote code te gebruiken. "We vinden dat geen enkele controle de risico's kan elimineren die worden geïntroduceerd als ontwikkelaars eenvoudig en ondetecteerbaar kunnen aanpassen welke code door extensies worden geladen", aldus Conca. Het beleid van Mozilla zorgt ervoor dat geen enkele ongecontroleerde code door de browser wordt geladen en de verplichte digitale handtekeningen voorkomen dat gecontroleerde code later kan worden aangepast.
Waar Google het gebruik van geobfusceerde code heeft verboden, staat Mozilla dit juist toe. Obfuscatie maakt het lastig om te bepalen wat een extensie precies doet. Mozilla verplicht echter dat extensie-ontwikkelaars de niet geobfusceerde code van de extensie ter controle indienen, alsmede instructies hoe de online versie, inclusief de obfuscatie, is te reproduceren. "We vinden het belangrijk dat ontwikkelaars hun code kunnen beveiligen, maar tegelijkertijd goed gecontroleerde extensies kunnen aanbieden die de veiligheid en privacy van gebruikers respecteren", merkt Conca op.
2-stapsverificatie
Mozilla en Google vinden elkaar wel waar het gaat om het gebruik van 2-stapsverificatie. Zowel vorig jaar als dit jaar wisten aanvallers via phishingmails de accounts van ontwikkelaars van Chrome-extensies over te nemen. Vervolgens gebruikten aanvallers deze toegang om malafide updates onder gebruikers van de Chrome-extensies te verspreiden. Vanaf volgend jaar worden extensie-ontwikkelaars door Google verplicht om van 2-stapsverificatie gebruik te maken. Naar aanleiding van de succesvolle phishingaanvallen op ontwikkelaars van Chrome-extensies gaat ook Mozilla vanaf volgend jaar 2-stapsverificatie voor ontwikkelaars van Firefox-extensies verplichten.
Dus ja, het zou inderdaad veel veiliger zijn, vooral als Chrome shared libraries zou toelaten, zoals jQuery, zodat er ook veel minder code gecheckt moet worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.