Mozilla今天宣布了计划,如果扩展包含混淆的代码,则将从其插件门户中禁止Firefox扩展。
该禁令将于6月10日生效,届时Mozilla计划删除所有不符合此条件的Firefox扩展,并拒绝所有将来无法提供对源代码的完全访问权限的扩展提交。
GOOGLE还禁止混淆的扩展程序
在此之前,谷歌于去年10月宣布了类似的Chrome扩展政策,该政策于 2019年1月1日生效。
在做出决定时,谷歌工程师表示,该公司正在积极阻止的所有恶意Chrome扩展程序中,大约70%使用了代码混淆技术。
对于非技术用户,混淆是编写难以理解的源代码的故意行为。常见的混淆技术包括以无意义或欺骗性的方式命名变量,使代码看起来像注释,反之亦然,重复代码块等。
混淆也不应与缩略(压缩)代码混淆。缩小或压缩是指为了提高性能而删除空格,换行符或缩短变量的做法。
压缩后的代码可以轻松地进行小型化,而对混淆后的代码进行模糊处理需要花费大量时间,并且首先使用它不会带来性能优势-其主要好处是可以对源代码审阅者隐藏恶意代码。
Mozilla附加组件社区经理Caitlin Neiman说:“我们将不再接受包含混淆代码的扩展。
“只要包含源代码,我们将继续允许使用压缩的,级联的或其他方式由机器生成的代码。如果您的扩展程序使用的是模糊代码,则必须在6月10日之前提交新版本并将其删除,以避免产生新的版本它被拒绝或阻止。”
MOZILLA在可疑扩展上变得更加严格
除阻止混淆的代码外,Neiman还宣布,从6月10日开始,Mozilla的团队还将更加积极地阻止和禁用用户浏览器中的Firefox附加组件,这些浏览器被发现违反了公司的政策之一。
尼曼说:“我们将继续阻止有意违反我们的政策,严重的安全漏洞的扩展,还将对损害用户隐私或绕过用户同意或控制的扩展采取行动。”
她补充说:“我们将扩大网络,在确定是否阻止时会在用户安全方面犯错。”