it-swarm-eu.dev

Ci sono ragioni oggettive per non consentire a Google Chrome estensioni, ma per consentire le estensioni di Firefox?

Di recente, la società per cui lavoro ha vietato l'utilizzo di eventuali estensioni in Chrome. Inoltre, non consentono la sincronizzazione dell'account. Ciò ha interessato praticamente tutti gli sviluppatori Web poiché utilizzano Chrome per testare il loro codice front-end e utilizzare un'estensione o due per migliorare la produttività (visualizzazione JSON, strumenti di sviluppo Redux).

Sfortunatamente, questo è cambiato da un giorno all'altro senza un'adeguata comunicazione e non vi è alcuna ragione chiara per questo cambiamento.

Tuttavia, ho notato che sono in grado di utilizzare una versione portatile di Firefox e installare tutte le estensioni necessarie.

Attualmente sto usando Chrome 62.0 e Firefox 56.0.2 (portatile). Uso la versione portatile perché la società autorizza ufficialmente FrontMotion e non voglio fare confusione con la sua installazione.

Questo post piuttosto vecchio non mostra seri problemi di sicurezza per Google Chrome (eccetto per la privacy).

Domanda: Esistono motivi oggettivi per vietare le estensioni di Google Chrome, ma consentire le estensioni di Firefox?

64
Alexei

Non posso rispondere alla domanda, ma spero che questo possa far luce sul tuo problema.

  • Le regole di sicurezza aziendale dovrebbero vietare l'uso di alcune estensioni del browser?

    IMHO la risposta è SÌ qui. Le estensioni del browser possono praticamente fare praticamente qualsiasi cosa per conto del normale browser. Ciò significa che un firewall locale non li rileverà.

  • Ci sono obiettivi motivi per fidarsi di più XXX (inserire qui qualsiasi browser dell'estensione del browser) rispetto a YYY (un altro browser o estensione del browser).

    Bene nella sicurezza IT la fiducia si basa su 2 elementi principali: audit del codice e reputazione. Il primo è oggettivo, mentre il secondo no, ma devo ammettere che uso principalmente il secondo perché non ho né tempo a sufficienza né conoscenza sufficiente per rivedere tutto, quindi mi baso solo su consigli esterni da fonti di cui mi fido. Quando faccio affidamento su HTTPS per proteggere un canale, devo fidarmi del proprietario del certificato di non fare cose cattive con i dati una volta ricevuti, e mi fido del firmatario del certificato. Per farla breve, potrebbe essere possibile dire se un'estensione ha una reputazione migliore di un'altra, ma può essere solo per estensione e non a livello globale tramite browser.

  • L'uso di un Firefox portatile nel tuo caso d'uso è una soluzione accettabile?

    Comunque la mia opinione, ma a meno che tu non sia in una posizione gerarchica che ti consenta di ignorare una regola del team di sicurezza, voglio dire un grande NO qui. Il mio consiglio è che dovresti prima fare un elenco delle estensioni che hai usato comunemente e delle possibili sostituzioni. Quindi dovresti provare a raccogliere tutti gli elementi sulla loro sicurezza oggettiva e sulla loro reputazione (ancora dal punto di vista della sicurezza). Quindi dovresti dire al tuo manager che la recente proibizione di Chrome porta a una riduzione netta della produttività e chiedigli di proporre al team di sicurezza un elenco di estensioni necessarie con possibili sostituzioni (Firefox per Chrome con l'esempio). Quindi o sono d'accordo con un elenco accettabile o la domanda dovrebbe salire più in alto nella gerarchia dell'organizzazione, fino a quando qualcuno che è responsabile sia della sicurezza globale che della produttività globale prenda un decisione: ignorare silenziosamente le regole aziendali è sempre una decisione sbagliata perché il ragazzo che ha l'autorità globale non ha modo di sapere che alcune regole non vengono seguite.

E se il tuo capo sceglie che la sicurezza è più importante della produttività o del contrario, lui ha l'autorità per quella scelta mentre potresti non averne.

50
Serge Ballesta

Ho il sospetto che Anders ha ragione e chiunque abbia impostato il Chrome divieto di estensione non ha pensato a Firefox. Se si sono accorti che stavi usando Firefox per aggirare il divieto, probabilmente lo proibirebbero anche loro (o proverebbero, comunque).

FWIW, sì, le estensioni del browser possono essere problematiche dal punto di vista della sicurezza e posso vedere i motivi per vietarle o limitarle pesantemente in alcune situazioni. Detto questo, essere in grado di installare il proprio software, incluso un browser diverso, è altrettanto problematico per gli stessi motivi, o anche di più, quindi consentire che mentre vieti le estensioni sembri incoerente.

In ogni caso, il vero problema qui sembra essere la mancanza di comunicazione. Se il divieto di estensione fosse basato su una politica ufficiale esistente, tutti i dipendenti avrebbero dovuto essere informati della politica; in caso contrario, tale politica avrebbe dovuto essere creata e annunciata correttamente.


Detto questo, come autore di un'estensione Chrome/Firefox ( SOUP ), fammi notare che esiste, o almeno era , una vera differenza nel processo di revisione della sicurezza tra Chrome Web Store e Firefox Add- Fondamentalmente, la differenza è che i componenti aggiuntivi di Firefox avevano n processo di revisione della sicurezza manuale obbligatorio che tutte le estensioni dovevano passare prima di essere approvate, mentre Chrome Web Memorizza solo contrassegna le estensioni per la revisione manuale se falliscono un controllo euristico automatico.

Fondamentalmente, la mia esperienza personale con l'invio della mia estensione ai componenti aggiuntivi di Firefox e Chrome Web Store è stata più o meno la seguente:

  • Componenti aggiuntivi per Firefox: mi sono registrato per un account sviluppatore e ho inviato l'estensione. Due settimane dopo ho ricevuto un'e-mail in cui si diceva che la mia estensione (che, a dire il vero, era già diventata abbastanza grande a quel punto) era stata completamente rivista e approvata. Il revisore aveva chiaramente esaminato il codice con un occhio dettagliato, poiché aveva individuato un bug di disinfezione HTML non banale (tra poco meno di 2.000 righe di JavaScript piuttosto denso) che avrebbe potuto portare a una vulnerabilità XSS se, come hanno anche notato nella loro recensione, l'input non proveniva da una fonte attendibile. Gli aggiornamenti successivi dell'estensione sono stati generalmente approvati al massimo entro pochi giorni.

  • Chrome Web Store: per poter inviare un'estensione, ho dovuto pagare una quota di registrazione di $ 5 . Questo alla fine mi ha richiesto un po 'di tempo, dal momento che la mia banca stava apparentemente segnalando l'accusa come potenzialmente fraudolenta e rifiutando di farcela. Alla fine sono riuscito a risolvere il problema chiamando la mia banca e facendoli consentire manualmente l'addebito. Dopo aver completato il processo di registrazione, ho presentato l'estensione ed è stata (IIRC) pubblicata quasi immediatamente, apparentemente dopo aver superato i controlli automatizzati.

Ovviamente, senza sapere esattamente per cosa stanno controllando i controlli automatici di Google, non posso dire con certezza quanto siano bravi a catturare bug e malware. Ma so che non sono riusciti a individuare il bug quasi-XSS nella mia estensione che il revisore di Mozilla ha rilevato.

Più in generale, la mia impressione è che Google sia più concentrato sul tentativo di rendere tracciabili e responsabili gli autori delle estensioni (tramite la quota di registrazione, il che significa almeno che conoscono i dettagli della mia carta di credito; anche se sono sicuro che un attore malintenzionato possa trovare modi per aggirare ) e sul rilevamento di malware intenzionale. E non sempre riescono nemmeno a catturarlo. Il precedente processo di revisione dei componenti aggiuntivi di Firefox, d'altra parte, non solo ha tenuto fuori il malware, ma ha anche cercato di individuare potenziali falle di sicurezza anche in estensioni ben intenzionate. E rivedendo manualmente gli aggiornamenti alle estensioni esistenti, il sistema dei componenti aggiuntivi di Firefox avrebbe anche contrastato gli attacchi dirottatori dell'account sviluppatore come quelli che hanno compromesso diverse legittime Chrome estensioni di recente.


Sfortunatamente, come ha sottolineato Makyen nei commenti qui sotto, questa differenza non esiste più: qualche mese fa, i componenti aggiuntivi di Firefox sono passati a un processo di revisione delle estensioni semi-automatizzato , proprio come quello Chrome Web Store sta utilizzando.

Nel post sul blog collegato, la modifica è stata motivata da "la nuova API WebExtensions [essendo] meno probabile che causi problemi di sicurezza o stabilità agli utenti". Sfortunatamente, questo ragionamento non mi convince davvero: WebExtensions - anche le estensioni di script di contenuto puro come SOUP - possono fare un sacco di danni nelle mani di un attore malvagio.

Solo l'API per gli script di contenuto offre sostanzialmente un'estensione accesso gratuito a ogni pagina Web visitata e a ogni password o numero di carta di credito che digiti. Certo, quando installi l'estensione, ti verrà comunicato quali siti può eseguire script di contenuto su - ma così tante estensioni (inclusi i blocchi degli annunci, le estensioni della privacy, ecc.) richiedono già la possibilità di iniettare script su ogni sito che pochi utenti presteranno attenzione a quell'avvertimento, anche se capiscono cosa significa.

Appena una settimana dopo l'annuncio collegato sopra, due estensioni con minatori di bitcoin incorporati erano già stati individuati sui componenti aggiuntivi di Firefox. Quindi sembra che, quando si tratta di estensioni, l'ex vantaggio di sicurezza di Firefox su Chrome ora è solo nostalgia. :(

41
Ilmari Karonen

Sì.

Può esserci un motivo legittimo:

  • Le estensioni di Chrome sono sempre aggiornate automaticamente.
  • Le estensioni di Firefox non devono essere aggiornate automaticamente.

Ciò significa che se l'account dello sviluppatore di qualsiasi Chrome con l'autorizzazione "leggi le tue informazioni su tutti i siti Web" viene compromesso, il ladro può inviare molto rapidamente codice dannoso in tutto il mondo1—E tutti i tipi di account, dalle e-mail ai conti bancari, sarebbero a rischio. Consentire all'utente di eseguire l'aggiornamento a un ritmo più lento e meno prevedibile rende (1) più probabile che al termine dell'aggiornamento sia stato individuato e rimosso il codice dannoso e (2) che l'attacco stesso sarebbe meno probabilità di essere tentato a causa dell'avvertenza in (1).

Ora, non ho idea se questa è la ragione della tua azienda. Nella mia esperienza, le persone (e persino Google) sembrano dimenticare questa minaccia e/o spazzolare questa minaccia di compromesso degli sviluppatori sotto il tappeto (e secondo me, pericolosamente in modo errato). Tuttavia, è una preoccupazione legittima e credo sia solo una questione di tempo prima che un malware pericoloso si diffonda a livello globale tramite l'aggiornamento automatico forzato.

1Non essere troppo ingenuo nel modo in cui pensi a questo. Se stai pensando "ma eseguono test automatici" o "ma scaglionano gli aggiornamenti" o [qualunque cosa], renditi conto che il codice dannoso non deve mostrare immediatamente segni di attività dannosa, in particolare non attività di rete. Può semplicemente rimanere inattivo mentre l'aggiornamento viene espulso, quindi impostato per attivarsi in un secondo momento, e dopo l'attivazione globale simultanea, può inviare credenziali da una ton degli utenti e dei siti Web sulla nave madre prima che venga catturato e disabilitato.

9
user541686

Forse nella tua azienda c'erano utenti che avevano malware o problemi di dati rubati a causa di Google Chrome estensioni.

Mi è successo quindi non lo sconto.

Non conosco le estensioni di Firefox, ma ho trovato malware in un'estensione Chrome che stava manipolando l'output del mio browser. L'ho esaminato da solo e l'ho segnalato a Google, ma non è successo nulla. in superficie è stato un plugin molto utile che mi ha permesso di avere una sessione separata in ogni scheda per lo stesso dominio.

Quindi, nella mia esperienza personale, Google non è in grado di monitorare/moderare app/estensioni. Ogni singolo plugin che hai nel tuo Chrome è capace di molte cose pericolose.

8
a20

Ci sono ragioni oggettive per non consentire a Google Chrome estensioni, ma per consentire le estensioni di Firefox?

Oggettivamente, Mozilla ha più processo robusto per la distribuzione di un componente aggiuntivo rispetto a chrome .

Oggettivamente, Chrome estensioni è stato violato di recente (il social engineering è indipendente dalla piattaforma).

Obiettivamente, Chrome ha un modo tilizzo più elevato share. Vuoi scegliere un sistema operativo popolare? Target Windows. Vuoi scegliere un browser popolare? Target chrome

Probabilmente non dovresti continuare a utilizzare questi componenti aggiuntivi senza autorizzazione esplicita, ma credo Chrome sono, in un certo senso, meno sicure dei componenti aggiuntivi di Mozilla.

1
darkmoon

È possibile che si riferisca agli strumenti disponibili per il team di sicurezza. Un team può avere accesso agli strumenti per gestire e controllare o anche solo riferire sulle estensioni per uno dei browser, ma non per l'altro in questo momento.

Non credo che questa sia probabilmente la tua situazione, ma è una ragione legittima per una politica che sembra discriminare un browser in particolare per nessun altro motivo apparente. So che Chrome, in particolare, ha n pacchetto di amministrazione disponibile per gli amministratori di domini Windows che consente agli amministratori di vedere e impostare una serie di opzioni di sicurezza, ma ciò non significa che il team di sicurezza sia stato in grado di impostare questi strumenti. Sospetto che Firefox abbia qualcosa di simile, ma al momento non mi occupo degli strumenti di Mozilla per questo.

1
Joel Coehoorn