Устанавливая очередное расширение задался таким вопросом:
Почему все расширения не имеют подписи?

При установке расширения FireFox пишет:
-----------------------------------------------------------------------------
Сайт запрашивает права на установку следующего компонента:
"Название расширения"     Не подписано

Программы могут содержать вирусы, имеющие возможность
повредить информацию на вашем компьютере.

Поэтому устанавливайте ПО только из тех источников,
которым вы доверяете.
-----------------------------------------------------------------------------

то есть
Устанавливая все подряд -> доверяю всем источникам!
А может в каком нибудь полезном расширении ведется и передается
лог всех посещенных адресов?

Кто нибудь ведет проверку расширений? Может знаете где есть подписанные?
А внедрить подпись на мозилла.ру возможно? 

(извините за повтор вопроса, если такой имел место, но на форуме что-то похожего не нашел)

Вот такая параннойя!

Кто нибудь ведет проверку расширений?

Расширения выкладываемые на update.mozilla.org тестируются. Расширения с остальных сайтов - ставишь на свой страх и риск.

Доверяй Mozilla.ru, Mozilla.org, extensionsmirror.nl и mozdev.org и всё.
Больше тебе никакие сайты не понадобятся. Всё есть на этой четвёрке.

Расширения выкладываемые на update.mozilla.org тестируются

В сборке "Moziila.ru Extension Pack" нет расширений с update.
Тем более, как я понимаю, там они все не локализованные.

Большинство с mozdev.org, но у них нет подписи!
Тогда как узнать происхождение расширения? и можно ли ему доверять?

Если расширения переведены они теряют подпись?
На мозилла.ру есть подписанные? Будут?
Были ли случаи встраивания опасного кода в расширения?

Сколь вопросов сразу возникло, простите уж....

Были ли случаи встраивания опасного кода в расширения?

Пока не слышно было. Эту фишку сразу просекут.

Divan
1. Подписанных расширений я не видел в природе, как и прецедентов встраивания в них ad/spy/malware.
2. Все мы знаем, что бывает даже от подписанных ActiveX и EXE в одном известном браузере..

Были случаи появления зловредных расширений на различных порно/крак сайтах (русские опять впереди всех).
Поэтому не ставьте что попало с особо левых сайтов.

вообще гиблое это дело подписывать расширения,
проще тестировать и выкладывать на уважаемых сайтах.

А зачем тады фича с проверкой подписи? ;) Щоб юзеры боялись самого факта установки? ;)

А, что были случаи с вредоносными расширениями?
IHMO надо сильно постараться, чтоб найти такое "чудо".

SoulWar пишет

А, что были случаи с вредоносными расширениями?
IHMO надо сильно постараться, чтоб найти такое "чудо".

Позавчера у одного юзера лечил Фокс, который подхватил троянца с какого-то порносайта. Вычистил профиль, обновил до 1.0.4, будем надеяться, что заражение прошло через одну из недавно залепленных дыр, а не через неизвестные ещё широкой общественности (установка расширений там была отключена).

Самое неприятное, что троянец этот из-за узкой специализации не словился резидентным антивирусом (AVG).

А, что были случаи с вредоносными расширениями?
IHMO надо сильно постараться, чтоб найти такое "чудо".

Нашел один из первых постов о подобной гадости - http://forums.mozillazine.org/viewtopic.php?t=64341

When I visited the site http://cracks.ss.ru/download/tsrh/tsrh-activecaptions_15_exe.zip.html Firefox promted to install Content Access Plugin 1.01, that is happening for first time for me and I was interested in waht this could be. I saved (not installed) the xpi and after unarchiving it it occures that it contains and .exe file which install.js run when you install the plugin. I found that this is porn toolbar spyware/adware, info for this can be found  at spywareguide.com.

Скриншот этой гадости

Интересно, что доступно коду расширений?
Вся файловая система или только входящий хтмл да ресурсы Firefox`a?
Если вся система, да и пароли сохраненные в фоксе, то это не просто дыра в защите браузера (и системы), а целое "Добро пожаловать - день открытых дверей". Никакой файрволл не поможет, так как в политике его Firefox блуждает по всем просторам инета!

А без расширений Firefox совсем не юзается :(

На счет Content Access Plugin: его антивирусы обнаруживают?

Divan

Если вся система, да и пароли сохраненные в фоксе, то это не просто дыра в защите браузера (и системы), а целое "Добро пожаловать - день открытых дверей".

А ты думаешь, в ШУ (так IE набирается :D ) не то же самое? Вообще, в данном случае спасение утопающих - дело рук самих утопающих.

Да после переезда многих юзеров на FF, некоторые "умельцы" начали делать пакости.
Но с другой стороны на этом и на оффсайте будем надеятся такая мура как вредоносные расширения не проявятся.
А воще если у юзера проблемы с головой (прошу никого не принимать на свой счет :D ) то медицина тут бессильна.
А, что до порносайтов так тут...

Было бы неплохо, если кто нибудь написал парсер исходного кода расширений, который бы показывал какие ресурсы это расширение юзает. Например: обращается к файловой системе, добирается до сохраненных паролей в фоксе, коннектится с таким-то сервером....

Иначе эти пакости будут размножаться!

Вот такая паранойя!


Уважаемый Unghost!
А нельзя ли внедрить подпись мозилла.ру на те расширения которым Вы лично на 100% доверяете и которые выложены в разделе расширений?

на 100% доверяете

Параноя %)). Расширениями, например, на exstensionmirror, пользуются десятки тысяч человек! Если бы был какой-л. опасный код, кто-нибудь заметил бы и автора расширений запинали бы :)

Viper

Представим:
Некий индивидум написал хороший плагин, работающий, полезный, нужный.
Лежит этот плагин на exstensionmirror и всеми постоянно скачивается/обновляется.
Затем этот же индивидум (или кто-то) встраивает какой-нибудь вред код в это расширение.
Это расширение никто не проверяет(не подписывает) и оно мирно расходится на млн компьютеров.
Вот и эпидемия.

И автора трудно будет выискать...и информацию восстановить...
Помоему эта опасность не ниже уровнем, чем "дыры" в коде программ (хоть опен соурс, хоть не опен)

Divan А если автор его подпишет?? Какая разница? содержание расширения от подписи не изменится.

Так и не надо, что бы автор подписывал. Необходимо что бы это расширение проверялось на безопасность (приватность пользователя) компетентными  людьми из группы разработчиков (например) или авторитетными лицами (сторонними организациями).

(а вот если бы был парсер исходного кода, то проверку (поверхностную) мог бы сделать каждый и решить - пользоваться ему этим расширением или нет)

Уважаемый Unghost!
А нельзя ли внедрить подпись мозилла.ру на те расширения которым Вы лично на 100% доверяете и которые выложены в разделе расширений?

Я никому на 100% не доверяю.
Если хотите чтобы я подписывал расширения - платите мне зарплату и я брошу свою работу, выучу XUL, JS и C++, и буду сидеть и проверять исходники этих расширений.

А вообще учитывая что у каждого кто использует Windows стоит куча софта написанного неизвестно кем и скачанного неизвестно откуда сама постановка вопроса можно ли доверять расширениям просто наивна. Относитесь к расширению как просто к еще одному  приложению Windows.

Целиком поддерживаю

А вообще учитывая что у каждого кто использует Windows стоит куча софта написанного неизвестно кем и скачанного неизвестно откуда сама постановка вопроса можно ли доверять расширениям просто наивна. Относитесь к расширению как просто к еще одному  приложению Windows.

Согласен, если это касается домашеного пользователя. Куча программ (неизвестных) полезных, бесполезных и вредных. Другое дело, если организация: только нужные программы, ничего лишнего (если организация заботится о безопасности).
Дома: подцепил заразу (страшную) - снес все, форматнул, да и делов. На работе это происшествие. Еще в чем разница: эта "куча софта, скаченного неизвестно откуда" работает по отдельности, и если какая-нибудь программа пытается коннектится с инетом, то файрвол или просто запрещает или пугается и спрашивает, а расширения входят в политику всего firefox`а и делают, что хотят (код расширений встраивается в программу). Расширение - это тот же макрос (мое мнение). А макросы МС в Ворде наделали много шуму.
Если Firefox с такими же темпами будет распространяться дальше,  он в тысячи раз будет распространенней, чем любая популярная прога, а следовательно - нападки с помощью расширений будут продолжаться ... (так как легче и эффективней)
Если, разного вида, трояны чистятся с помощью антивирусов и антитроянов, то вредоносные расширения (Content access plugin) пока ни одна программа не распознает...:( 

Вот такая моя паранойя.

ЗЫ:  помоему подпись относится к сайтам с которых скачивается/устанавливается расширение , а не к отдельным  его экземплярам.

Если Firefox с такими же темпами будет распространяться дальше,  он в тысячи раз будет распространенней, чем любая популярная прога, а следовательно - нападки с помощью расширений будут продолжаться ... (так как легче и эффективней)
Если, разного вида, трояны чистятся с помощью антивирусов и антитроянов, то вредоносные расширения (Content access plugin) пока ни одна программа не распознает...sad

Если Firefox с такими же темпами будет распространяться дальше, то антивирусы будут ловить вредные расширения, а авторы начнут их подписывать.

Но, пока этого нет (ловли антивирусами вр.расширений).

ПОТОМ БУДУТ.
Но это не значит, что сейчас эту тему не нужно обсуждать!

Предупрежден - значит вооружен!!!!!

А пока:
"Пока гром не грянет..." с известным продолжением.

В продолжение темы:
http://www.computerra.ru/gid/rtfm/browser/38811/
"Итак, подытожим. Отличная реализация Greasemonkey, огромный архив скриптов и легкость их установки - вот основные критерии, делающие этот плагин популярным с каждым днем. Однако следует помнить, что следствием этой популярности может стать увеличение числа скриптов-вирусов, призванных выполнять какие-либо деструктивные функции. Поэтому, дабы обезопасить себя от подобных лжесценариев, не стоит устанавливать их из ненадежных источников"
:-)
Кто что об этом ?

Divan
Если есть познания в JS, то перед установкой просматривать скрипт (может еще и модернизируешь "под себя" :rolleyes: )
Либо если такие познания отсутствуют, то устанавливать скрипты с известных каталогов скриптов, напр. http://userscripts.org/
Там то уж точно ничего не подхватишь... ;)

Хм... пока не будет централизированного стандарта как и что с расширениями все эти обсуждения вредоносности напрасные потуги :|
И вобще код открытый кто хочет тот и пишет расширения... :D

memini пишет

НО! Были случаи, когда взламывались сайты официальных версий программ (не могу вспомнить точно, но по-моему сайт апача около 1,5 лет назад), и под видом программы/исходника выкладывалась версия с бэкдором.
Человек, скачавший с этого сайта будет доверять скачанному, и даже не узнает, что он скачал еще и бэкдор.

Есть такая вещь — цифровая подпись (digital signature). Например, расширение Enigmail имеет подпись от главного разработчика — Patrick Brunschwig.
А чтобы эту подпись подделать, надо:
a) Взломать компьютер Патрика, украть секретный ключ и парольную фразу к нему. Если, конечно, он держит этот ключ на подключённой к сети машине.
или
b) 1 миллион $ на суперкомпьютер, производящий коллизию SHA1.
или
c) Около 10 лет распределённых вычислений (на ту же цель).
или
d) Неожиданный прорыв в математике, вычислительной технике или криптоанализе хэш-функций/асимметричных шифров/блочных шифров (наиболее вероятный путь).

В общем, не так просто. См. также http://www.chiark.greenend.org.uk/~sgtatham/putty/keys.html

memini пишет

Или парсер. Потому как, я до сих пор не знаю, что делает робоформ. Он без исходников идет, а его dll-ка ходит в сеть в теле лисы.

Я просто не использую расширения с закрытыми исходниками.

Есть такая кнопка. Запустить фокс в защищенном режиме. Все расширения выключены.
А вот, чтоб они и работали и в сеть не лезли..  Пользуйтесь блокнотом виндоус :)
Или моноблочными прогами, код которых может меняться только производителем.

Ответы уже были даны - качайте расширения с правильных сайтов вроде update.mozilla.org

Если встраивание троянов код страниц уже не пугает, то давайте бояться встроенных в расширения :)) .

memini
лиса не убога без расширений. я некоторое время ей пользовался. без расширений.

Lustermaf
ЗЫ Но вообще, не смотря на открытый код, хочу в лисе ба-а-альшую красную кнопку: отрубить расширениям доступ в сеть.

Полностью согласен!

ЗЫ Но вообще, не смотря на открытый код, хочу в лисе ба-а-альшую красную кнопку: отрубить расширениям доступ в сеть.

Это как? В сеть выходит firefox.exe, а не расширения.

Firefox работает без расширений? Работает.
Значит расширения идут другими потоками (процессами). А их в свою очередь возможно отследить и отключить.

Кто писал расширения, подскажите плиз поточнее. (или: такая красная кнопка вообще возможна?)

Значит расширения идут другими потоками (процессами).

Не, процесс один -- firefox.exe

Народ помогите пожалуйста,если кто знает.
Не устанавливаются программы,которые прописываются в реестре.Прова адина есть на машине. Решил проверить на вирусы(стоит McAfee) и вижу троян.
Удалил и все ровно нет доступа на установку.
Выдает ошибку:
C:\Program Fales\Game exploer\unins000.exe

Произошла ошибка при попытки переименования файла в папке назначения.
MoveFile:сбой;код 5.
отказано в доступе.

И это с любой прогой так.
Помогите.
За рание спасибо.

AVG Free 8.0 + AD-Aware 2008 Free

Если антивирус не может удалить вирус (или удаляет, а тот снова и снова появляется) — ищите rootkit. Помочь могут HiJackThis 2, Rootkit Detective, AVZ, Cure-it.

P.S. Сканировать лучше с другого (чистого) компьютера.