web-dev-qa-db-fra.com

Y a-t-il des raisons objectives de ne pas autoriser les extensions Google Chrome, mais d'autoriser les extensions Firefox?

Récemment, la société pour laquelle je travaille a interdit l'utilisation des extensions dans Chrome. Ils n'autorisent pas non plus la synchronisation du compte. Cela a affecté pratiquement tous les développeurs Web car ils utilisent Chrome pour tester leur code frontal et utiliser une extension ou deux pour améliorer la productivité (vue JSON, outils de développement Redux).

Malheureusement, cela a changé du jour au lendemain sans communication appropriée et il n'y a aucune raison claire pour ce changement.

Cependant, j'ai remarqué que je suis capable d'utiliser une version portable de Firefox et d'installer toutes les extensions nécessaires.

Actuellement, j'utilise Chrome 62.0 et Firefox 56.0.2 (portable). J'utilise la version portable parce que la société autorise officiellement FrontMotion et je ne veux pas jouer avec son installation.

Cette plutôt ancienne publication ne présente aucun problème de sécurité sérieux pour Google Chrome (sauf pour la confidentialité).

Question: Y a-t-il des raisons objectives d'interdire les extensions de Google Chrome, mais d'autoriser les extensions Firefox?

64
Alexei

Je ne peux pas répondre à la question posée, mais j'espère que cela pourrait éclairer votre problème.

  • Les règles de sécurité d'entreprise devraient-elles interdire l'utilisation d'une extension de navigateur?

    À mon humble avis, la réponse est OUI ici. Les extensions de navigateur peuvent pratiquement tout faire pour le compte du navigateur standard. Cela signifie qu'un pare-feu local ne les détectera pas.

  • Existe-t-il objectif des raisons de faire plus confiance à XXX (mettez le navigateur de l'extension de navigateur ici) qu'à YYY (un autre navigateur ou extension de navigateur).

    Well in IT security trust repose sur 2 éléments majeurs: l'audit du code et la réputation. Le premier est objectif, tandis que le second ne l'est pas, mais je dois admettre que j'utilise principalement le second parce que je n'ai ni assez de temps ni assez de connaissances pour tout réviser, donc je me fie uniquement aux conseils externes de sources en qui j'ai confiance. Lorsque je compte sur HTTPS pour sécuriser un canal, je dois faire confiance au propriétaire du certificat pour ne pas faire de mauvaises choses avec les données une fois qu'il les a reçues, et je fais confiance au signataire du certificat. Pour faire court, il peut être possible de dire si une extension a une meilleure réputation qu'une autre, mais elle ne peut l'être que par extension et non globalement par navigateur.

  • L'utilisation d'un Firefox portable dans votre cas d'utilisation est-elle une solution acceptable?

    Toujours mon avis, mais à moins que vous ne soyez dans un endroit hiérarchique qui vous permette d'ignorer une règle de l'équipe de sécurité, je veux dire un grand NON ici. Mon conseil est que vous devez d'abord faire une liste des extensions que vous utilisez le plus souvent, et celles qui peuvent être remplacées. Ensuite, vous devriez essayer de rassembler autant d'éléments sur leur sécurité objective et sur leur réputation (toujours sur le plan de la sécurité). Ensuite, vous devez informer votre responsable que l'interdiction récente de Chrome conduit à une baisse nette de la productivité, et lui demander de proposer à l'équipe de sécurité une liste d'extensions dont vous avez besoin avec des remplacements possibles (Firefox pour Chrome par exemple). Ensuite, soit ils sont d'accord avec une liste acceptable, soit la question devrait monter plus haut dans la hiérarchie de l'organisation, jusqu'à ce qu'une personne responsable à la fois de la sécurité globale et de la productivité mondiale prenne une Ignorer silencieusement les règles de l’entreprise est toujours une mauvaise décision car le gars qui a une autorité mondiale n’a aucun moyen de savoir que certaines règles ne sont pas suivies.

Et si votre patron choisit que la sécurité est plus importante que la productivité ou l'inverse, he a l'autorité pour ce choix alors que vous ne l'avez peut-être pas.

50
Serge Ballesta

Je soupçonne que Anders a raison , et quiconque a mis en place l'interdiction de l'extension Chrome n'a tout simplement pas pensé à Firefox. S'ils réalisaient que vous utilisiez Firefox pour vous déplacer) l'interdiction, ils l'interdiraient probablement aussi (ou essayer de toute façon).

FWIW, oui, les extensions de navigateur peuvent être problématiques du point de vue de la sécurité, et je peux voir des raisons de les interdire ou de les restreindre fortement dans certaines situations. Cela dit, être en mesure d'installer votre propre logiciel, y compris un navigateur différent, est tout aussi problématique pour les mêmes raisons, ou plus, donc autoriser cela tout en interdisant les extensions semble incohérent.

En tout cas, le vrai problème semble être le manque de communication. Si l'interdiction d'extension était basée sur une politique officielle existante, tous les employés auraient dû être informés de la politique; sinon, une telle politique aurait dû être créée et correctement annoncée.


Cela dit, en tant qu'auteur d'une extension Chrome/Firefox ( SOUP ), permettez-moi de noter qu'il existe, ou au moins était , une réelle différence dans le processus d'examen de la sécurité entre Chrome Web Store et Firefox Add- Fondamentalement, la différence est que les modules complémentaires de Firefox avaient n processus de révision de sécurité manuel obligatoire que toutes les extensions devaient passer avant d'être approuvées, alors que Chrome Web Stocker uniquement signale les extensions pour examen manuel si elles échouent à une vérification heuristique automatisée.

Fondamentalement, mon expérience personnelle avec la soumission de mon extension aux modules complémentaires de Firefox et Chrome Web Store était plus ou moins la suivante:

  • Modules complémentaires de Firefox: je me suis inscrit pour un compte développeur et j'ai soumis l'extension. Deux semaines plus tard, j'ai reçu un e-mail m'informant que mon extension (qui, certes, avait déjà pris une ampleur considérable à ce moment-là) avait été entièrement examinée et approuvée. L'évaluateur avait clairement examiné le code avec un œil détaillé, car il avait repéré un bogue de désinfection HTML non trivial (parmi n peu moins de 2000 lignes de JavaScript assez dense) qui aurait pu conduire à une vulnérabilité XSS si, comme ils l'ont également noté dans leur examen, les commentaires ne provenaient pas d'une source fiable. Les mises à jour ultérieures de l'extension ont généralement été approuvées en quelques jours au plus.

  • Chrome Web Store: Pour pouvoir soumettre une extension, je devais payer des frais d'inscription de 5 $ . Cela m'a finalement pris du temps, car ma banque signalait apparemment la charge comme potentiellement frauduleuse et refusait de la laisser passer. Finalement, j'ai réussi à régler le problème en appelant ma banque et en lui permettant manuellement de facturer. Après avoir terminé le processus d'enregistrement, j'ai soumis la prolongation et elle a été (IIRC) presque immédiatement publiée, ayant apparemment passé les vérifications automatisées.

Bien sûr, sans savoir exactement ce que les vérifications automatisées de Google vérifient, je ne peux pas dire avec certitude à quel point elles sont efficaces pour détecter les bogues et les logiciels malveillants. Mais je sais qu'ils n'ont pas repéré le bogue presque-XSS dans ma propre extension que le critique de Mozilla a détecté.

Plus généralement, j'ai l'impression que Google est plus concentré sur la tentative de rendre les auteurs d'extensions traçables et responsables (via les frais d'inscription, ce qui signifie au moins qu'ils connaissent les détails de ma carte de crédit; bien que je sois sûr qu'un acteur malveillant pourrait trouver des moyens de contourner cela ) et sur la détection de logiciels malveillants délibérés. Et ils ne semblent pas toujours le comprendre non plus. L'ancien processus de révision des modules complémentaires de Firefox, d'autre part, a non seulement empêché les logiciels malveillants, mais a également essayé de détecter des failles de sécurité potentielles, même dans extensions bien intentionnées. Et en examinant manuellement les mises à jour des extensions existantes, le système de modules complémentaires de Firefox contrecarrerait également les attaques de détournement de compte de développeur comme celles qui ont compromis plusieurs Chrome Chrome récemment.


Malheureusement, comme Makyen l'a souligné dans les commentaires ci-dessous, cette différence n'existe plus: il y a quelques mois, Firefox Add-ons a déplacé vers un processus d'examen des extensions semi-automatisé , tout comme celui Chrome Web Store utilise.

Dans le billet de blog lié, le changement a été motivé par "la nouvelle API WebExtensions [étant] moins susceptible de causer des problèmes de sécurité ou de stabilité pour les utilisateurs". Malheureusement, ce raisonnement ne me convainc pas vraiment: les extensions Web - même les extensions de script de contenu pur comme SOUP - peuvent faire beaucoup de dégâts entre les mains d'un acteur malveillant.

Juste l'API de script de contenu donne essentiellement un accès gratuit à chaque page Web que vous visitez et à chaque mot de passe ou numéro de carte de crédit que vous saisissez. Bien sûr, lorsque vous installez l'extension, vous serez informé des sites sur lesquels il peut exécuter des scripts de contenu. - mais tant d'extensions (y compris les bloqueurs de publicités, les extensions de confidentialité, etc.) nécessitent déjà la possibilité d'injecter des scripts sur chaque site que peu d'utilisateurs prêteront attention à cet avertissement, même s'ils comprennent ce que cela signifie.

Juste une semaine après l'annonce liée ci-dessus, deux extensions avec des mineurs de bitcoin intégrés ont déjà été repérés sur les modules complémentaires de Firefox. Il semble donc que, s'agissant des extensions, l'ancien avantage de sécurité de Firefox par rapport à Chrome n'est plus que de la nostalgie. :(

41
Ilmari Karonen

Oui.

Il peut y avoir une raison légitime:

  • Les extensions Chrome sont toujours mises à jour automatiquement.
  • Les extensions Firefox ne doivent pas être mises à jour automatiquement.

Cela signifie que si le compte du développeur d'une extension Chrome avec l'autorisation "lire vos informations sur tous les sites Web" est compromis, le voleur peut propulser très rapidement le code malveillant dans le monde entier).1—Et toutes sortes de comptes, des e-mails aux comptes bancaires, seraient menacés. Permettre à l'utilisateur de mettre à jour à un rythme plus lent et moins prévisible rend (1) plus probable qu'au moment où la mise à jour est effectuée, le code malveillant aura été repéré et supprimé, et aussi (2) que l'attaque elle-même serait moins susceptibles d'être tentées en raison de la mise en garde de (1).

Maintenant, je n'ai aucune idée si c'est la raison de votre entreprise. D'après mon expérience, les gens (et même Google) semblent oublier cette menace et/ou balayer cette menace de compromis de développeur sous le tapis (et à mon avis, dangereusement incorrectement). Cependant, c'est une préoccupation légitime, et je pense que ce n'est qu'une question de temps avant que des logiciels malveillants dangereux ne se propagent dans le monde via une mise à jour automatique forcée.

1Ne soyez pas trop naïf dans votre façon de penser à ce sujet. Si vous pensez "mais ils exécutent des tests automatisés" ou "mais ils échelonnent les mises à jour" ou [peu importe], sachez que le code malveillant n'a pas besoin de montrer immédiatement des signes d'activité malveillante, en particulier pas d'activité réseau. Il peut simplement rester inactif pendant la mise à jour, puis configuré pour s'activer un peu plus tard, et après l'activation globale simultanée, il peut envoyer des informations d'identification à partir d'une tonne des utilisateurs et des sites Web sur son navire mère avant qu'il ne soit capturé et désactivé.

9
user541686

Peut-être que dans votre entreprise, il y avait des utilisateurs qui avaient des logiciels malveillants ou des problèmes de vol de données à cause des extensions Google Chrome.

Cela m'est arrivé donc je ne l'escompterai pas.

Je ne connais pas les extensions Firefox, mais j'ai trouvé des logiciels malveillants dans une extension Chrome qui manipulait la sortie de mon navigateur. en surface, c'était un plugin très utile qui m'a permis d'avoir une session séparée dans chaque onglet pour le même domaine.

Donc, dans mon expérience personnelle, Google est mauvais pour surveiller/modérer les applications/extensions. Chaque plugin que vous avez dans votre Chrome est capable de nombreuses choses dangereuses.

8
a20

Y a-t-il des raisons objectives de ne pas autoriser les extensions Google Chrome, mais d'autoriser les extensions Firefox?

Objectivement, Mozilla a plus processus robuste pour déployer un module complémentaire que chrome .

Objectivement, Chrome a récemment été piraté (l'ingénierie sociale est indépendante de la plateforme, cependant).

Objectivement, Chrome a un moyen tilisation plus élevée partager. Voulez-vous cibler un système d'exploitation populaire? Ciblez Windows. Voulez-vous cibler un navigateur populaire? Ciblez chrome

Vous ne devriez probablement pas continuer à utiliser ces modules complémentaires sans autorisation explicite, mais je pense que les extensions Chrome sont, en quelque sorte, moins sécurisées que les modules complémentaires Mozilla.

1
darkmoon

Il est possible que cela concerne les outils mis à la disposition de l'équipe de sécurité. Une équipe peut avoir accès à des outils pour gérer et contrôler ou même simplement signaler des extensions pour l'un des navigateurs mais pas pour le moment.

Je ne pense pas que ce soit probablement votre situation, mais c'est une raison légitime pour une politique qui semble discriminer contre un navigateur particulier sans autre raison apparente. Je sais que Chrome, en particulier, a n package d'administration disponible pour les administrateurs de domaine Windows qui permet aux administrateurs de voir et de définir un certain nombre d'options de sécurité, mais cela ne signifie pas que l'équipe de sécurité a pu mettre en place ces outils. Je soupçonne que Firefox a quelque chose de similaire, mais je ne suis pas à la hauteur des outils de Mozilla pour le moment.

1
Joel Coehoorn