Tại sao Firefox buộc trì hoãn 3 giây trước khi cài đặt tiện ích bổ sung?

54

Tôi cho rằng có một lợi ích bảo mật cho sự chậm trễ của Firefox trước khi cài đặt các tiện ích bổ sung, nhưng đối với cuộc sống của tôi, tôi không thể tìm ra nó là gì. (Vâng, tôi biết bạn có thể vô hiệu hóa độ trễ.)

Nếu bạn trả lời câu hỏi này, vui lòng cung cấp tài liệu tham khảo từ danh sách gửi thư của Firefox hoặc nhật ký cam kết.

firefox 
Natan Yellin
nguồn
12
Câu hỏi nên là "tại sao Mozilla là người duy nhất làm việc này?". IMHO, mỗi hộp thoại mới sẽ kích hoạt các nút 1 giây sau khi hiển thị chúng vì bạn có thể vô tình nhấp vào nó (hoặc ai đó muốn bạn nhấp vào nó mà không có sự đồng ý của bạn). Tôi thực sự ghét nó khi tôi nhấp vào một nơi nào đó và một nút xuất hiện ở đó ngay trước khi tôi nhấp. Điều này cũng xảy ra với điện thoại khi ai đó gọi cho bạn ngay tại thời điểm bạn muốn nhấn nút 'phát' đó.
Mike
4
"Nếu bạn trả lời câu hỏi này, vui lòng cung cấp tài liệu tham khảo từ danh sách gửi thư của Firefox hoặc nhật ký cam kết." Nếu đây là yêu cầu của bạn, thì bạn không thể tự tìm kiếm?
kmm
2
Có lẽ nó không dễ tìm, hoặc có một số thứ khác để xem xét. Có lẽ ai đó ở đây sẽ có nhiều thông tin nội bộ hơn - ai biết được? Thật không tệ khi hỏi mỗi se @Kevin
slhck
Tôi đã cố gắng để nhìn bản thân mình, nhưng tôi không thể tìm thấy thông tin. (Tôi đã nói như vậy trong một lần chỉnh sửa cách đây vài giờ, đã bị mất bằng cách nào đó: superuser.com/users/68351/ Khăn )
Natan Yellin
@aantn Xin lỗi, tôi đã xóa nó vì nó không thực sự thêm thông tin cần thiết vào câu hỏi. Chúng tôi thường mong mọi người tìm kiếm trước, vì vậy không cần phải đề cập đến nó :)
slhck

Câu trả lời:

71

Tại sao?

  • Bởi vì họ muốn bạn nghĩ về những gì bạn đang làm
  • Bởi vì nó ngăn chặn cài đặt tình cờ
  • Bởi vì nó ngăn chặn cài đặt kích hoạt độc hại

Làm thế nào bạn có thể kích hoạt cài đặt độc hại?

Đây là một bài viết thú vị về điều kiện chủng tộc trong các hộp thoại bảo mật của Jesse Ruderman:

Một hình thức tấn công khác liên quan đến việc thuyết phục người dùng nhấp đúp vào một vị trí nhất định trên màn hình. Vị trí này là vị trí mà nút 'Có' sẽ xuất hiện. Lần nhấp đầu tiên kích hoạt hộp thoại; lần nhấp thứ hai rơi vào nút 'Có'. Tôi đã tạo một bản demo của cuộc tấn công này cho Firefox và Mozilla.

Giải pháp của Firefox, từ lỗi 162020 , là trì hoãn kích hoạt các nút "Có" / "Cài đặt" cho đến ba giây sau khi hộp thoại xuất hiện. Tôi tin rằng đây là cách khắc phục duy nhất có thể ngoài việc phủ nhận hoàn toàn nội dung không đáng tin cậy về khả năng đặt hộp thoại. Thật không may, sửa lỗi này gây khó chịu cho người dùng cài đặt tiện ích mở rộng thường xuyên.

Về cơ bản, tất cả chỉ để dự đoán khi nào người dùng sẽ nhấp và sau đó chặn nhấp chuột đó trong hộp thoại cài đặt. Ruderman đã giải thích một tình huống trò chơi ngắn gọn hơn như thế này trong báo cáo lỗi của mình từ Firefox, cuối cùng dẫn đến việc đưa vào giai đoạn trì hoãn.

Tóm lại, điểm chính của anh là:

Nếu tôi có thể kiểm soát hoặc dự đoán thời điểm và nơi người dùng sẽ nhấp, tôi có thể yêu cầu họ cài đặt phần mềm .

Bất kỳ thay thế cho thời gian trì hoãn?

Thời gian trì hoãn chắc chắn chỉ là một cách để đối phó với điều này. Một người khác có thể đã xáo trộn các nút cho "Cài đặt", "Hủy" mỗi khi bạn cài đặt một cái gì đó. Đây là một cái gì đó được sử dụng rất thường xuyên, nhưng nó gây nhầm lẫn cho người dùng nhiều hơn nó giúp.

Một ý tưởng khác sẽ được di chuyển vị trí cửa sổ ngẫu nhiên cho mỗi hộp thoại. Điều này có kết quả tương tự như xáo trộn các nút, cụ thể là gây nhầm lẫn cho người dùng.

Ngoài ra, giới thiệu ngẫu nhiên không phải là giải pháp cuối cùng. Nếu có phím tắt cho các nút, bạn cũng có thể chặn phím nhấn. Điều đó đã được nói, có vẻ giống như một tính năng cũ ngày nay, vì hầu hết các plugin đều được cài đặt từ trang web bổ trợ Firefox chính thức.

slhck
nguồn
1
Không có quyền cài đặt cho addons.firefox.org giải quyết vấn đề này?
Natan Yellin
Có lẽ nhiều nhất. Nó sẽ giúp có tùy chọn chấp nhận vĩnh viễn (giống như bạn có thể có chứng chỉ) - nói chung nó có vẻ giống như một "tính năng" kế thừa. Nhưng tôi không phải là người dùng Firefox, vì vậy tôi thực sự không thể nhận xét về điều này.
slhck
... Bản demo tuyệt vời! :)
sebastian_k
Quyền cài đặt trên mỗi trang không tự giúp mình vì trang web độc hại có thể sắp xếp để lừa bạn nhấp vào nút trên trang web đã được cấp quyền . (Có, ngay cả với các biện pháp phòng thủ
nhấp chuột
@Zack, bạn có thể đưa ra một ví dụ cho addons.firefox.org không?
Natan Yellin
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.