Mozilla a annoncé que certains modules complémentaires pourraient être bloqués sur certains sites dans le cadre d’une nouvelle fonctionnalité appelée Domaines mis en quarantaine.
« Nous avons introduit une nouvelle fonctionnalité back-end pour autoriser uniquement certaines extensions surveillées par Mozilla à s’exécuter sur des sites Web spécifiques pour diverses raisons, y compris des problèmes de sécurité », a déclaré la société. a dit dans ses notes de version pour Firefox 115.0 publiées la semaine dernière.
La société a déclaré que l’ouverture offerte par l’écosystème des modules complémentaires pourrait être exploitée par des acteurs malveillants à leur avantage.
« Cette fonctionnalité nous permet d’empêcher les attaques d’acteurs malveillants ciblant des domaines spécifiques lorsque nous avons des raisons de croire qu’il peut y avoir des modules complémentaires malveillants que nous n’avons pas encore découverts », Mozilla a dit dans un document d’accompagnement séparé.
Les utilisateurs devraient avoir plus de contrôle sur le paramètre de chaque module complémentaire, à partir de la version 116 de Firefox. Cela dit, il peut être désactivé en chargeant « about: config » dans la barre d’adresse et en définissant « extensions.quarantinedDomains.enabled » sur FAUX.
Le développement ajoute à la capacité existante de Mozilla de désactiver à distance des extensions individuelles qui présentent un risque pour la vie privée et la sécurité des utilisateurs.
Il convient de noter que l’avertissement apparaît dans la fenêtre contextuelle Extensions plutôt que sur l’icône Extensions dans l’implémentation actuelle, de sorte que les alertes ne s’affichent pas si un module complémentaire est épinglé à la barre d’outils.
« Il s’avère que lorsque vous épinglez une extension à la barre d’outils, elle n’apparaît plus dans la fenêtre contextuelle Extensions ! », Jeff Johnson, chercheur en sécurité et développeur de modules complémentaires indiqué.
« Par conséquent, l’avertissement des domaines mis en quarantaine n’apparaît plus non plus dans la fenêtre contextuelle Extensions. En fait, il n’y a plus de fenêtre contextuelle Extensions : cliquer sur l’icône de la barre d’outils Extensions ouvre simplement la page about: addons, qui n’affiche nulle part l’avertissement des domaines mis en quarantaine. «
🔐 Gestion des accès privilégiés : apprenez à relever les principaux défis
Découvrez différentes approches pour relever les défis de la gestion des comptes privilégiés (PAM) et améliorer votre stratégie de sécurité des accès privilégiés.
« Il s’agit d’une conception d’interface utilisateur terrible pour la nouvelle fonctionnalité dite de » sécurité « , désactivant silencieusement les extensions tout en cachant l’avertissement à l’utilisateur », a ajouté Johnson.
Mozilla a déclaré qu’il avait l’intention d’améliorer l’expérience utilisateur dans les futures versions, bien qu’il n’ait pas donné de calendrier définitif.
Le changement intervient également alors que Mozilla a dénoncé une proposition de blocage de sites Web basée sur un navigateur présentée par la France qui obligerait les fournisseurs de navigateurs à établir des mécanismes pour bloquer obligatoirement les sites Web présents sur une liste fournie par le gouvernement pour lutter contre la fraude en ligne.
« Une telle décision renversera des décennies de normes établies de modération de contenu et fournira un manuel aux gouvernements autoritaires qui nieront facilement l’existence d’outils de contournement de la censure », a déclaré la société. a dit.