Mozilla wijst op risico van remote code bij Chrome-extensies
Google Chrome staat toe dat extensies van een remote locatie code kunnen downloaden en uitvoeren, wat een risico voor gebruikers is, zo waarschuwt Mozilla. Onlangs kondigde Google verschillende beveiligingsmaatregelen aan om de veiligheid van Chrome-extensies te verbeteren.
Zo kunnen Chrome-gebruikers de toegang van extensies tot bepaalde websites beperken en zullen extensies strenger worden gecontroleerd. Verder heeft Google het gebruik van geobfusceerde code in extensies verboden en zijn extensie-ontwikkelaars straks verplicht om via 2-stapsverificatie in te loggen. Mozillas Mike Conca prijst de aangekondigde maatregelen, maar stelt ook dat Google op bepaalde vlakken een stap verder had kunnen gaan.
Binnen Firefox is het bijvoorbeeld voor extensies verboden om remote code te gebruiken. "We vinden dat geen enkele controle de risico's kan elimineren die worden geïntroduceerd als ontwikkelaars eenvoudig en ondetecteerbaar kunnen aanpassen welke code door extensies worden geladen", aldus Conca. Het beleid van Mozilla zorgt ervoor dat geen enkele ongecontroleerde code door de browser wordt geladen en de verplichte digitale handtekeningen voorkomen dat gecontroleerde code later kan worden aangepast.
Waar Google het gebruik van geobfusceerde code heeft verboden, staat Mozilla dit juist toe. Obfuscatie maakt het lastig om te bepalen wat een extensie precies doet. Mozilla verplicht echter dat extensie-ontwikkelaars de niet geobfusceerde code van de extensie ter controle indienen, alsmede instructies hoe de online versie, inclusief de obfuscatie, is te reproduceren. "We vinden het belangrijk dat ontwikkelaars hun code kunnen beveiligen, maar tegelijkertijd goed gecontroleerde extensies kunnen aanbieden die de veiligheid en privacy van gebruikers respecteren", merkt Conca op.
2-stapsverificatie
Mozilla en Google vinden elkaar wel waar het gaat om het gebruik van 2-stapsverificatie. Zowel vorig jaar als dit jaar wisten aanvallers via phishingmails de accounts van ontwikkelaars van Chrome-extensies over te nemen. Vervolgens gebruikten aanvallers deze toegang om malafide updates onder gebruikers van de Chrome-extensies te verspreiden. Vanaf volgend jaar worden extensie-ontwikkelaars door Google verplicht om van 2-stapsverificatie gebruik te maken. Naar aanleiding van de succesvolle phishingaanvallen op ontwikkelaars van Chrome-extensies gaat ook Mozilla vanaf volgend jaar 2-stapsverificatie voor ontwikkelaars van Firefox-extensies verplichten.
Dus ja, het zou inderdaad veel veiliger zijn, vooral als Chrome shared libraries zou toelaten, zoals jQuery, zodat er ook veel minder code gecheckt moet worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.