it-swarm.com.de

Gibt es objektive Gründe, Google Chrome -Erweiterungen, aber Firefox-Erweiterungen nicht zuzulassen?

Vor kurzem hat das Unternehmen, für das ich arbeite, die Verwendung von Erweiterungen in Chrome verboten. Sie erlauben auch keine Kontosynchronisierung. Dies betraf praktisch alle Webentwickler, da sie Chrome zum Testen ihres Front-End-Codes und ein oder zwei Erweiterungen zum Verbessern der Produktivität (JSON-Ansicht, Redux-Entwicklungstools) verwenden.

Leider hat sich dies über Nacht ohne ordnungsgemäße Kommunikation geändert, und es gibt keinen klaren Grund für diese Änderung.

Ich habe jedoch festgestellt, dass ich eine tragbare Version von Firefox verwenden und alle erforderlichen Erweiterungen installieren kann.

Derzeit verwende ich Chrome 62.0 und Firefox 56.0.2 (portabel). Ich verwende die portable Version, da das Unternehmen offiziell FrontMotion zulässt und ich mich nicht damit anlegen möchte seine Installation.

Dieser ziemlich alte Beitrag zeigt keine ernsthaften Sicherheitsprobleme für Google Chrome (außer für den Datenschutz).

Frage: Gibt es objektive Gründe, die Erweiterungen von Google Chrome zu verbieten, aber Firefox-Erweiterungen zuzulassen?

64
Alexei

Ich kann die gestellte Frage nicht beantworten, aber ich hoffe, dies könnte etwas Licht in Ihr Problem bringen.

  • Sollten die Sicherheitsregeln des Unternehmens die Verwendung einer Browsererweiterung verbieten?

    IMHO ist die Antwort hier JA. Browser-Erweiterungen können praktisch alles für den normalen Browser tun. Das bedeutet, dass eine lokale Firewall sie nicht erkennt.

  • Gibt es objektiv Gründe, mehr XXX (setzen Sie den Browser der Browsererweiterung hier) als JJJ (ein anderer Browser oder eine andere Browsererweiterung) zu vertrauen.

    In der IT-Sicherheit basiert das Vertrauen auf zwei Hauptelementen: Prüfung von Code und Reputation. Ersteres ist objektiv, letzteres nicht, aber ich muss zugeben, dass ich hauptsächlich Letzteres verwende, weil ich weder genug Zeit noch genug Wissen habe, um alles zu überprüfen. Deshalb verlasse ich mich nur auf externe Ratschläge von Quellen, denen ich vertraue. Wenn ich mich auf HTTPS verlasse, um einen Kanal zu sichern, muss ich darauf vertrauen, dass der Zertifikatsinhaber nach dem Empfang keine schlechten Dinge mit den Daten macht, und ich vertraue dem Zertifikatsignierer. Kurz gesagt, es kann möglich sein zu sagen, ob eine Erweiterung einen besseren Ruf als eine andere hat, aber es kann nur durch Erweiterung und nicht global per Browser erfolgen.

  • Ist die Verwendung eines tragbaren Firefox in Ihrem Anwendungsfall eine akzeptable Lösung?

    Immer noch meine Meinung, aber wenn Sie sich nicht an einem hierarchischen Ort befinden, an dem Sie eine Regel des Sicherheitsteams ignorieren können, möchte ich hier ein großes NEIN sagen. Mein Rat ist, dass Sie zuerst eine Liste der häufig verwendeten Erweiterungen und möglichen Ersatzerweiterungen erstellen sollten. Dann sollten Sie versuchen, möglichst viele Elemente zu ihrer objektiven Sicherheit und zu ihrem Ruf zu sammeln (immer noch unter Sicherheitsgesichtspunkten). Dann sollten Sie Ihrem Manager mitteilen, dass das kürzlich erfolgte Verbot der Erweiterung Chrome zu einer Nettoproduktion führt), und ihn bitten, dem Sicherheitsteam eine Liste der Erweiterungen vorzuschlagen, die Sie mit möglichen Ersetzungen benötigen (Firefox für Chrome als Beispiel). Dann stimmen sie entweder einer akzeptablen Liste zu, oder die Frage sollte in der Organisationshierarchie höher steigen, bis jemand, der sowohl für die globale Sicherheit als auch für die globale Produktivität verantwortlich ist, eine Frage stellt Entscheidung: Das stille Ignorieren von Unternehmensregeln ist immer eine schlechte Entscheidung, da der Mann mit globaler Autorität nicht wissen kann, dass einige Regeln nicht befolgt werden.

Und wenn Ihr Chef entscheidet, dass Sicherheit wichtiger ist als Produktivität oder das Gegenteil, hat er Autorität für diese Wahl, während Sie dies möglicherweise nicht haben.

50
Serge Ballesta

Ich vermute, dass Anders Recht hat , und wer auch immer das Chrome-Erweiterungsverbot eingerichtet hat), hat einfach nicht an Firefox gedacht. Wenn er merkte, dass Sie es waren Wenn sie Firefox verwenden, um das Verbot zu umgehen, würden sie das wahrscheinlich auch verbieten (oder es trotzdem versuchen).

FWIW, ja, Browsererweiterungen können aus Sicherheitsgründen problematisch sein, und ich sehe Gründe, sie in einigen Situationen zu verbieten oder stark einzuschränken. Die Möglichkeit, Ihre eigene Software, einschließlich eines anderen Browsers, zu installieren, ist jedoch aus den gleichen oder weiteren Gründen genauso problematisch. Daher scheint es inkonsistent, dies zuzulassen, während Erweiterungen verboten werden.

In jedem Fall scheint das eigentliche Problem hier der Mangel an Kommunikation zu sein. Wenn das Verlängerungsverbot auf einer bestehenden offiziellen Richtlinie beruhte, sollten alle Mitarbeiter auf die Richtlinie aufmerksam gemacht worden sein. Andernfalls sollte eine solche Richtlinie erstellt und ordnungsgemäß angekündigt worden sein.


Alles, was gesagt wurde, als Autor einer Chrome/Firefox-Erweiterung ( [~ # ~] Suppe [~ # ~] ), lassen Sie mich Beachten Sie, dass es einen echten Unterschied im Sicherheitsüberprüfungsprozess zwischen Chrome Web) gibt oder zumindest Store- und Firefox-Add-Ons Grundsätzlich besteht der Unterschied darin, dass Firefox-Add-Ons früher einen obligatorischen manuellen Sicherheitsüberprüfungsprozess hatten, den alle Erweiterungen durchlaufen mussten, bevor sie genehmigt wurden, während = Chrome Nur im Web Store kennzeichnet Erweiterungen für die manuelle Überprüfung , wenn sie eine automatische heuristische Prüfung nicht bestehen.

Grundsätzlich war meine persönliche Erfahrung mit dem Senden meiner Erweiterung an Firefox Add-ons und Chrome Web Store mehr oder weniger wie folgt:

  • Firefox-Add-Ons: Ich habe mich für ein Entwicklerkonto angemeldet und die Erweiterung eingereicht. Zwei Wochen später erhielt ich eine E-Mail mit dem Hinweis, dass meine Verlängerung (die zu diesem Zeitpunkt zugegebenermaßen bereits ziemlich groß geworden war) vollständig überprüft und genehmigt worden war. Der Rezensent hatte den Code mit einem detaillierten Auge klar durchgesehen, da er einen nicht trivialen HTML-Bereinigungsfehler (unter knapp 2.000 Zeilen von ziemlich dichtem JavaScript) entdeckt hatte, der dazu hätte führen können eine XSS-Sicherheitsanfälligkeit, wenn die Eingabe, wie sie auch in ihrer Überprüfung festgestellt haben, nicht von einer vertrauenswürdigen Quelle stammt. Nachfolgende Aktualisierungen der Erweiterung wurden in der Regel innerhalb weniger Tage genehmigt.

  • Chrome Web Store: Um eine Erweiterung einreichen zu können, musste ich eine Registrierungsgebühr von 5 USD zahlen. Dies dauerte tatsächlich eine Weile, da meine Bank die Anklage offenbar als potenziell betrügerisch bezeichnete und sich weigerte, sie durchzulassen. Schließlich gelang es mir, das Problem zu lösen, indem ich meine Bank anrief und die Gebühr manuell zuließ. Nach Abschluss des Registrierungsprozesses reichte ich die Erweiterung ein und sie wurde (IIRC) fast sofort veröffentlicht, nachdem ich anscheinend die automatisierten Prüfungen bestanden hatte.

Ohne genau zu wissen, worauf die automatisierten Überprüfungen von Google prüfen, kann ich natürlich nicht sicher sagen, wie gut sie Fehler und Malware erkennen können. Aber ich weiß, dass sie den Fast-XSS-Fehler in meiner eigenen Erweiterung, den Mozillas Rezensent entdeckt hat, nicht erkannt haben.

Generell habe ich den Eindruck, dass Google sich mehr darauf konzentriert, Autoren von Erweiterungen nachvollziehbar und rechenschaftspflichtig zu machen (über die Registrierungsgebühr, was zumindest bedeutet, dass sie meine Kreditkartendaten kennen, obwohl ich sicher bin, dass ein böswilliger Schauspieler Wege finden könnte, dies zu umgehen ) und beim Erkennen von absichtlicher Malware. Und sie scheinen es auch nicht immer zu verstehen. Der frühere Überprüfungsprozess für Firefox-Add-Ons hat andererseits nicht nur Malware ferngehalten, sondern auch tatsächlich versucht, sie zu erkennen potenzielle Sicherheitslücken auch bei gut gemeinten Erweiterungen. Durch die manuelle Überprüfung von Updates für vorhandene Erweiterungen würde das Firefox-Add-On-System auch Angriffe auf die Entführung von Entwicklerkonten verhindern, bei denen in letzter Zeit mehrere legitime Chrome -Erweiterungen) kompromittiert wurden.


Leider besteht dieser Unterschied, wie Makyen in den Kommentaren unten hervorhob, nicht mehr: Seit einigen Monaten sind Firefox-Add-ons zu einem halbautomatischen Überprüfungsprozess für Erweiterungen übergegangen , genau wie der Chrome Web Store verwendet.

In dem verlinkten Blog-Beitrag wurde die Änderung dadurch motiviert, dass "die neue WebExtensions-API weniger wahrscheinlich Sicherheits- oder Stabilitätsprobleme für Benutzer verursacht". Leider überzeugt mich diese Argumentation nicht wirklich: WebExtensions - selbst reine Inhaltsskripterweiterungen wie SOUP - können in den Händen eines böswilligen Schauspielers viel Schaden anrichten.

Nur die Inhaltsskript-API bietet einer Erweiterung im Grunde einen freien Zugriff auf jede von Ihnen besuchte Webseite und jedes eingegebene Passwort oder jede Kreditkartennummer. Sicher, wenn Sie die Erweiterung installieren, werden Sie über die Websites informiert, auf denen möglicherweise Inhaltsskripte ausgeführt werden on - aber so viele Erweiterungen (einschließlich Werbeblocker, Datenschutzerweiterungen usw.) erfordern bereits die Fähigkeit, Skripte auf jeder Site einzufügen, dass nur wenige Benutzer diese Warnung beachten, selbst wenn sie verstehen, was sie bedeutet.

Nur eine Woche nach der oben verlinkten Ankündigung wurden bereits zwei Erweiterungen mit eingebetteten Bitcoin-Minern in Firefox-Add-Ons entdeckt. Wenn es um Erweiterungen geht, scheint der frühere Sicherheitsvorteil von Firefox gegenüber Chrome jetzt nur noch Nostalgie zu sein. :(

41
Ilmari Karonen

Ja.

Es kann einen legitimen Grund geben:

  • Chrome-Erweiterungen werden immer automatisch aktualisiert.
  • Firefox-Erweiterungen müssen nicht automatisch aktualisiert werden.

Dies bedeutet, dass der Dieb sehr schnell bösartigen Code auf der ganzen Welt verbreiten kann, wenn das Konto des Entwicklers einer Chrome -Erweiterung mit der Berechtigung "Lesen Sie Ihre Informationen auf allen Websites") gefährdet wird1- und alle Arten von Konten, von E-Mails bis zu Bankkonten, wären gefährdet. Wenn der Benutzer langsamer und weniger vorhersehbar aktualisieren kann, ist es (1) wahrscheinlicher, dass zum Zeitpunkt der Aktualisierung der Schadcode erkannt und entfernt wurde, und (2) dass der Angriff selbst erfolgt aufgrund der Einschränkung in (1) weniger wahrscheinlich versucht zu werden.

Nun, ich habe keine Ahnung, ob dies der Grund Ihres Unternehmens ist. Nach meiner Erfahrung scheinen die Leute (und sogar Google) diese Bedrohung zu vergessen und/oder diese Bedrohung durch Entwicklerkompromisse unter den Teppich zu streichen (und meiner Meinung nach gefährlich falsch). Es ist jedoch ein berechtigtes Problem, und ich glaube, es ist nur eine Frage der Zeit, bis sich gefährliche Malware durch erzwungene automatische Aktualisierung weltweit verbreitet.

1Sei nicht zu naiv, wie du darüber denkst. Wenn Sie denken, "aber sie führen automatisierte Tests durch" oder "aber sie aktualisieren die Aktualisierungen" oder [was auch immer], stellen Sie fest, dass bösartiger Code nicht sofort Anzeichen böswilliger Aktivitäten aufweisen muss, insbesondere keine Netzwerkaktivität. Es kann einfach ruhen, während das Update veröffentlicht wird, und später aktiviert werden. Nach der gleichzeitigen globalen Aktivierung kann es Anmeldeinformationen von einer Tonne senden. -) von Benutzern und Websites zurück zu ihrem Mutterschiff, bevor es gefangen und deaktiviert wird.

9
user541686

Möglicherweise gab es in Ihrem Unternehmen Benutzer, die aufgrund von Google Chrome -Erweiterungen) Probleme mit Malware oder gestohlenen Daten hatten.

Ist mir passiert, damit ich es nicht rabattiere.

Ich weiß nichts über Firefox-Erweiterungen, aber ich habe Malware in einer Chrome -Erweiterung gefunden, die meine Browserausgabe manipuliert hat. Ich habe sie selbst untersucht und Google gemeldet, aber es ist nichts passiert Auf der Oberfläche war es ein sehr nützliches Plugin, mit dem ich auf jeder Registerkarte eine separate Sitzung für dieselbe Domain durchführen konnte.

Nach meiner persönlichen Erfahrung kann Google Apps/Erweiterungen daher schlecht überwachen/moderieren. Jedes einzelne Plugin, das Sie in Ihrem Chrome haben), kann viele gefährliche Dinge.

8
a20

Gibt es objektive Gründe, Google Chrome -Erweiterungen, aber Firefox-Erweiterungen nicht zuzulassen?

Objektiv gesehen hat Mozilla einen stabileren Prozess für die Bereitstellung eines Add-Ons als Chrome .

Objektiv wurde Chrome -Erweiterungen kürzlich verletzt (Social Engineering ist jedoch plattformunabhängig).

Objektiv gesehen hat Chrome eine Möglichkeit eine höhere Nutzungsfreigabe . Möchten Sie ein beliebtes Betriebssystem ansprechen? Windows anvisieren. Möchten Sie ein beliebtes Betriebssystem anvisieren Browser? Zielchrom

Sie sollten diese Add-Ons wahrscheinlich nicht ohne ausdrückliche Genehmigung weiter verwenden, aber ich glaube, dass Chrome -Erweiterungen in gewisser Weise weniger sicher sind als Mozilla-Add-Ons.

1
darkmoon

Möglicherweise bezieht es sich auf die Werkzeuge, die dem Sicherheitsteam zur Verfügung stehen. Ein Team hat möglicherweise Zugriff auf Tools zum Verwalten und Überprüfen oder berichtet sogar nur über Erweiterungen für einen der Browser, jedoch nicht für den anderen.

Ich denke nicht, dass dies wahrscheinlich Ihre Situation ist, aber es ist ein legitimer Grund für eine Richtlinie, die einen bestimmten Browser aus keinem anderen offensichtlichen Grund zu diskriminieren scheint. Ich weiß, dass insbesondere Chrome ein Verwaltungspaket, das für Windows-Domänenadministratoren verfügbar ist hat, mit dem Administratoren eine Reihe von Sicherheitsoptionen anzeigen und festlegen können. Dies bedeutet jedoch nicht, dass das Sicherheitsteam dies konnte Richten Sie diese Tools ein. Ich vermute, dass Firefox etwas Ähnliches hat, aber ich bin im Moment nicht mit Mozillas Werkzeugen vertraut.

1
Joel Coehoorn