Разработчики Firefox обеспокоены ростом числа устанавливаемых без спроса плагинов
Аса Доцлер (Asa Dotzler), координатор сообщества разработчиков Firefox, выразил в своем блоге возмущение практикой некоторых производителей ПО, устанавливающих в Firefox свои дополнения без спроса пользователя. Принудительное добавление плагинов в Firefox встречается все чаще и чаще, при этом все подобные плагины устанавливаются молча, не уточнив, нужен ли этот дополнительный балласт пользователю.
Аса Доцлер подчеркивает, что подобная практика порочна и ее следует прекратить. Устанавливая определенное приложение, пользователь должен быть уверен, что кроме этого основного приложения в систему не будут интегрированы дополнительные компоненты, например, плагины к Firefox. Среди подобных автоматически устанавливаемых плагинов отмечаются:
RockMelt Update,
Apple iTunes Application Detector,
Microsoft Office Live Plug-in,
Google Update,
Windows Live Photo Gallery,
Virtual Earth 3D.
еще долбаная панель ASk ставится 
....панель ASk...
alkrymov это уже не плагин а расширение 
Немного не понял... А с "плохими" расширениями никто ничего делать не собирается? 
Najlus
Собираются. При обновлении Firefox все дополнения, установленные не пользователем, а сторонней программой, по умолчанию будут отключены. При установке сторонней программой в Firefox дополнения будет выдаваться предупреждение.
Плагины установленные насильственно без моего хотения - ЗЛО! 
Да и расширения - тоже зло..... 
okkamas_knife
это относится только к расширениям или и к плагинам тоже?
Трудно сказать. Пока патчей там нет, но я с трудом представляю чтобы Firefox 4 при обновлении отключал Flash/Java/Quicktime. Разработчики Firefox не самоубийцы.
Скорее всего пока только расширения. Хотя например со Skype это может не помочь, он напрямую лезет в каталог расширений Firefox.
Скорее всего пока только расширения. Хотя например со Skype это может не помочь, он напрямую лезет в каталог расширений Firefox.
Стоп... то есть блокироваться будет не всё? Но именно от подобной бякости блокировки то как раз и не хватает. Можно было бы сделать какую нибудь базу со списком установленных ПОЛЬЗОВАТЕЛЕМ расширений и загружать их, сверяясь с ней...
Najlus
Что помешает Skype залезть в эту базу? Он работает с теми же правами доступа, что и пользователь.
Конкретнее - база установленных расширений и так есть - это файлы extensions.* в профиле Firefox. Что помешает туда вклиниться другому приложению?
Что помешает Skype залезть в эту базу? Он работает с теми же правами доступа, что и пользователь.
Ну значит этот файлик можно шифровать мастер-паролем.
Что помешает Skype залезть в эту базу? Он работает с теми же правами доступа, что и пользователь.
Зашифровать базу, а ключ пускай хранится в браузере. Для того чтобы получить доступ к базе потребуется запуск браузера, в котором и появится запрос на установку дополнения.
а кто мешает скайпу вытащить этот ключ из браузера расшифровать базу внести изменения и зашифровать назад?
А это уже можно представить как взлом...
dewevle
Ну значит этот файлик можно шифровать мастер-паролем.
Тогда можно просто стереть этот файл. И все хранящиеся там разрешения на установку расширений полетят к чёрту.
01-12-2010 16:25:31
Najlus
А это уже можно представить как взлом...
Установка сторонних плагинов/расширений без спроса тоже можно считать взломом (изменение режимы работы программы несанкционированное пользователем). А некоторые плагины, тот же VKSaver, вообще инжектят свои .dll в каталог компонентов Firefox (в 4.0 это запретили к счастью). Но антивирусы на это не реагируют 
Ну раз такая тема зашла, то хотел бы спросить, что в моем списке плагинов желательно удалить и как (опции удалить нету, только отключить) ?
okkamas_knife
а может просто снабдить исполняемый файл ФФ механизмом проверки целостности и вшить туда список запрещённых расширений?
Список запрещённых расширений уже есть. Смотрите файл blocklist.xml
И файл firefox.exe подписан ЭЦП.
выбрать вариант установки стороннего расширения при котором он устанавливает расширение заносит его в базу и заново компилит исполняемый файл с внесённым исключением.
Теперь Firefox и компилятор с собой грузить ?
aleks_123
Кнопки Удалить нет по серьёзным причинам. Плагин может использоваться одновременно в нескольких браузерах. Вы же не хотите удалить плагин в Firefox, а потом не обнаружить его в Chrome/Opera?
Если очень хочется, то в about:config установите параметр plugin.expose_full_path в true, а потом откройте about:plugins - там будут видны полные пути к файлам загружающим плагины.
Список запрещённых расширений уже есть. Смотрите файл blocklist.xml
Хм... я один подумал об AdBlock addons plus? 
А если серьёзно - защита от принудительной установки ненужных дополнений должна быть... А про перекомпиляцию - действительно перебор...
Смочь то сможет. Просто эцп слетит.
В примерах самое зло не указали - дотнет асистант и джаву. Хорошо, что в линуксе с этим попроще. Но в убунте тоже своих свистелок в ФФ напихали.
При обновлении Firefox все дополнения, установленные не пользователем, а сторонней программой, по умолчанию будут отключены. При установке сторонней программой в Firefox дополнения будет выдаваться предупреждение.
При условии последнего первое — перебор. Пользователи будут вынуждены включать дополнения после каждого обновления или запретить обновление ![[firefox]](img/browsers/firefox.png "firefox")
.
dimakey
Но в убунте тоже своих свистелок в ФФ напихали.
Да элементарно отключаются и удаляются эти свистелки и …
Unghost
А возможно сделать, чтобы контролировал целостность списка установленных дополнений и при установке нового дополнения в обход стандартной процедуры или нарушении списка уведомлял бы об этом пользователя и предлагал отключить, удалить или оставить новое дополнение? Хорошо бы было.
okkamas_knife
ну дык зачем этот файл отдельно то держать? в него можно внести изменения или просто удалить. а если он будет вшит в исполняемый файл то с ним уже ничего не сделаешь. а компилить может и необязательно достаточно цеплять тот файл к исполняемому и заново подписывать,вопрос только в том чтоб данное действие не могла проделать сторонняя программа.
А ещё можно перезаписать файл firefox.exe
Это файл не предназначен для борьбы с вирусами, которые могут вообще что угодно сделать. Он предназначен для блокирования работы глючных и небезопасных расширений и плагинов (которые не являются злонамеренными). Для блокирования работы вирусов есть антивирусы. Firefox - не антивирус и никогда им не будет.
Радик245
При условии последнего первое — перебор. Пользователи будут вынуждены включать дополнения после каждого обновления или запретить обновление
Минорные обновления для 4.0 будут тихими (как в Chrome). Думаю, запрос будет выдаваться только при мажорных обновлениях. Выдачу запроса один раз в год пользователи переживут.
А возможно сделать, чтобы
Я выше приводил ссылки на баги со скриншотами в них, там как раз об этом думают.
02-12-2010 11:20:35
dimakey
В примерах самое зло не указали - дотнет асистант и джаву. Хорошо, что в линуксе с этим попроще. Но в убунте тоже своих свистелок в ФФ напихали.
У меня вообще есть подозрение, что последние версии вирусов/троянов влезают в систему через дырки java-плагина в браузерах. Не вижу причин зачем в браузере обычного пользователя нужна java.
Unghost
> Не вижу причин зачем в браузере обычного пользователя нужна java.
Что б в одном случае на 100 000 у кого-то сразу заработал IRC-чатик сделанный на устаревшем ещё в 90х Java-апплете.
okkamas_knife
Файл firefox.exe занимает аж ~100 Кб...
Firefox - не антивирус и никогда им не будет.
включать в поставку (опционально?) спецсборку ClamAV?
Не вижу причин зачем в браузере обычного пользователя нужна java.
онлайн банкинг не пробовали?
либо жаба, либо и вовсе актив-х какой-то...
включать в поставку (опционально?) спецсборку ClamAV?
"Отличная" идея. Нафиг такое счастье. Не браузеров дело с мальварями бороться.
Не браузеров дело с мальварями бороться.
я и не предлагал интегрировать клама в браузер - просто, в качестве опциональной "примочки".
либо даже ещё проще - считать контрольную сумму на весь каталог профиля и "ныкать" её...
но это уже из разряда предложенных вариантов (где ключ и т.п.).
Неужели настолько трудно отключить не нужное, что требуется городить огород с отключением, установившегося самостоятельно, при обновлении браузера? Или шифровать, кодировать что-либо?
А что касается "тихого" обновления самой мозиллы? Это нормально что программа, не сообщая пользователю, качает что-то и устанавливает? Вы уж для установления полной справедливости, расскажите как в четверке можно отключить эти принудительные обновления... А то как то не очень нравится, что после каждого тихого или не очень обновления надо заново включать то, что разработчики посчитали не нужным для меня.
Unghost
Не вижу причин зачем в браузере обычного пользователя нужна java.
Например, Эрмитаж посмотреть. А вот быстрый запуск джава, для которого расширение ставится, действительно не нужен.
А что касается "тихого" обновления самой мозиллы? Это нормально что программа, не сообщая пользователю, качает что-то и устанавливает? Вы уж для установления полной справедливости, расскажите как в четверке можно отключить эти принудительные обновления... А то как то не очень нравится, что после каждого тихого или не очень обновления надо заново включать то, что разработчики посчитали не нужным для меня.
По поводу автоматических обновлений: тут ничего нового нет: всё это настраивается, так же как и раньше, в настройках самого браузера.
А по поводу "слетают после каждого обновления": что из того, что отключено разработчиками вам требуется? Да и почитайте ветку: в ней было высказано предположение то, что отключаться они будут не после КАЖДОГО обновления.
А то, что разработчики автоматом включили "тихое обновление" ничего плохого нет: для неопытных (да и обычных тоже) пользователей так только лучше, а для тех, кто привык вести строгий контроль за тем, что и когда, делает приложение, отключить эту функцию не составит никакого труда. Во всяком случае это легче, чем даже устраивать истерики на форумах по поводу того, что настройки "по умолчанию" не соответствуют вашим.
tarrant написал:А что касается "тихого" обновления самой мозиллы? Это нормально что программа, не сообщая пользователю, качает что-то и устанавливает? Вы уж для установления полной справедливости, расскажите как в четверке можно отключить эти принудительные обновления... А то как то не очень нравится, что после каждого тихого или не очень обновления надо заново включать то, что разработчики посчитали не нужным для меня.По поводу автоматических обновлений: тут ничего нового нет: всё это настраивается, так же как и раньше, в настройках самого браузера.А по поводу "слетают после каждого обновления": что из того, что отключено разработчиками вам требуется? Да и почитайте ветку: в ней было высказано предположение то, что отключаться они будут не после КАЖДОГО обновления.А то, что разработчики автоматом включили "тихое обновление" ничего плохого нет: для неопытных (да и обычных тоже) пользователей так только лучше, а для тех, кто привык вести строгий контроль за тем, что и когда, делает приложение, отключить эту функцию не составит никакого труда. Во всяком случае это легче, чем даже устраивать истерики на форумах по поводу того, что настройки "по умолчанию" не соответствуют вашим.
Начнем с того, что "истерик" я не устраивал.
Как я понял из прочитанного, четверка будет сообщать не обо всех обновлениях, а только и глобальных. То есть не посчитанное разработчиками за такое, будет ставиться молча. Минус такого подхода хотя бы в том, что проще скачать один раз обновленный дистрибутив, чем каждый ком будет лезть за обновкой сам.
Дальше, даже если отключаться будут не после КАЖДОГО обновления, то все равно придется проверять едва ли не при КАЖДОМ запуске что могло отключиться. Ведь обновления тихие не сообщат о том что они свершились.
Если вы внимательно читали, то "расскажите как в четверке можно отключить эти принудительные обновления...". Или это тяжелее , чем устраивать истерики на форумах по поводу того, что написанное не соответствует вашему мнению.
ps
На всякий случай: Как отключить в FF4 автоматические "тихие" обновления?
На всякий случай: Как отключить в FF4 автоматические "тихие" обновления?
так же, как и прочие обновления: настройки-дополнительные-обновления - снять крыжик (:
tarrant
Ну а глобальные обновления у нас случаются каждый день и они такие незаметные...
По моему вы просто делаете из мухи слона.
Минус такого подхода хотя бы в том, что проще скачать один раз обновленный дистрибутив, чем каждый ком будет лезть за обновкой сам.
Такой подход оправдан при паре десятков компьютеров, в которых настроена автоматическая установка свежескаченного дистрибутива. Не думаю что у большинства домашних пользователей есть столько машин... Ну а системным администраторам, опять же, ничего не стоит отключить автообновление.
Дальше, даже если отключаться будут не после КАЖДОГО обновления, то все равно придется проверять едва ли не при КАЖДОМ запуске что могло отключиться. Ведь обновления тихие не сообщат о том что они свершились.
Не думаю что разработчики Firefox настолько безалаберны, что после каждого обновления придётся лезть и проверять... Да и если вам так нужен какой-то плагин, то просто удалить его из блоклиста 
Если вы внимательно читали, то "расскажите как в четверке можно отключить эти принудительные обновления...". Или это тяжелее , чем устраивать истерики на форумах по поводу того, что написанное не соответствует вашему мнению.
Не тяжелее, но я думал что вы сможете самостоятельно найти это в настройках, тем более что я сказал что эти опции находятся там. Как видно - я ошибался. Но вам уже раньше меня успел ответить Tiger.711.
И вы так и не ответили: что же такого, что заблокировано, вам действительно нужно.
не совсем по теме, но у меня вопрос, вот с VLC плеером в комплекте можно поставить плагин для мозиллы фф или симанки.
допустим если я октрываю .mkv видео с прямым адресом (оно лежит на фтп в сети у меня) то у меня его воспроизводит, а никаким кнопок управления (допустим как в quicktime нету..), можно ли их как нить врубить в нём что ли..
А что, просто при запуске ФФ нельзя выдать окно: "С момента последнего запуска были установлены следующие плагины:" ну и тут же предусмотреть их отключение-удаление.
И все. Имхо вполне достаточно.
Конечно, при всяких этих тихих левых установках плагинов сторонним софтом можно залезть куда угодно (в настройки фф, винды и прочее), чтобы и эти сообщения отключить. Ну от всего не защититься, а прога с такими "методами" установки популярность себе явно не приобретет...
sERGE-01, по-моему, дело говорит. Обход дополнением механизма такого предупреждения был бы как-то уж совсем против правил.
А если совсем по-жёсткому, то тут способ только один - запаролить вход в FF (а ещё лучше и надёжнее, запрашивать пароль только при установке дополнения) и шифровать этим ключом список установленных дополнений. Пароль, естественно, нигде не хранить. Забыл пароль - сноси весь список, ставь по-новой или живи с тем, что есть.
Идея с паролем на установку плагинов хорошая. Только сделать галочку в настройках для включения этого пароля. По умолчанию пускай пароль на установку плагинов не требуется, а пользователи которые обеспокоены скрытой установкой левых плагинов - смогут включить в настройках запрос пароля на установку. И после включения пароля список установленных приложений шифруется этим паролем - забыл пароль - ставь все занова. Таким образом кому нужна защита - те включат пароль, а кого это не беспокоет - продолжают пользоваться без защиты.