54 votos

¿Por qué fuerza Firefox un retardo de 3 segundos antes de instalar add-ons?

Supongo que hay un beneficio de seguridad para retrasar de Firefox antes de instalar add-ons, pero para la vida de mí no puedo averiguar lo que es. (Sí, sé que se puede deshabilitar el retraso.)



Si responder a esta pregunta, por favor proporcionar referencias de listas de correo de Firefox o cometer los registros.

71voto

Charlie Hargood Puntos 26

Por qué?

  • Porque ellos quieren que usted piense acerca de lo que estás haciendo
  • Porque impide instalaciones
  • Porque impide que maliciosamente activa de las instalaciones

¿Cómo se puede maliciosamente desencadenar una instalación?

He aquí un interesante artículo acerca de las condiciones de carrera en los cuadros de diálogo de seguridad por Jesse Ruderman:

Otra forma de ataque consiste en convencer al usuario haga doble clic en un cierto punto en la pantalla. Este lugar pasa a ser el lugar donde el " Sí " aparecerá el botón. El primer clic se activa el cuadro de diálogo; el segundo clic tierras en el botón 'Sí'. He hecho una demo de este ataque para Firefox y Mozilla.

Firefox solución de error 162020, es el retraso de habilitar el "Sí"/"Instalar" botones hasta tres segundos después de que aparezca el cuadro de diálogo. Creo que esta es la única posible solución completamente negar que no son de confianza de contenido la capacidad de plantear el diálogo. Por desgracia, esta revisión es frustrante para los usuarios que instalar extensiones a menudo.

Básicamente, todo se reduce a predecir cuando un usuario haga clic en y, a continuación, la interceptación de que haga clic en un cuadro de diálogo de instalación. Ruderman explicado de una forma más concisa juego esta situación en su informe de error de Firefox, que en última instancia condujo a la inclusión del período de retardo.

Para resumir una vez más, su punto principal fue:

Si puedo controlar o predecir cuándo y dónde un usuario haga clic en, puedo llegar a instalar el software.


Las alternativas para el período de retardo?

El período de retardo fue, sin duda sólo una manera de lidiar con esto. Otra podría haber sido la mezcla de botones para "Instalar", "Cancelar" cada vez que instale algo. Esto es algo que se utiliza muy a menudo, pero se confunde al usuario más de lo que ayuda.

Otra idea sería la de mover la ventana de ubicación de forma aleatoria para cada cuadro de diálogo. Este tiene el mismo resultado que la mezcla de los botones, es decir, confundir al usuario.

También, la introducción de la aleatoriedad no es la mejor solución. Si hay atajos de teclado para los botones, usted puede interceptar las pulsaciones de teclas también. Que todo está dicho, se parece más a un legado función de hoy, como la mayoría de los plugins se instalan desde el oficial de Firefox add-on sitio web de todos modos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: