Firefox neden eklentileri kurmadan önce 3 saniye geciktiriyor?

54

Eklentileri yüklemeden önce Firefox'un gecikmesinin bir güvenlik yararı olduğunu varsayıyorum, ancak benim için ne olduğunu çözemiyorum. (Evet, gecikmeyi devre dışı bırakabileceğinizi biliyorum.)

Bu soruyu yanıtlarsanız, lütfen Firefox posta listelerinden referanslar verin veya günlükleri kaydedin.

firefox 
Natan Yellin
kaynak
12
Soru, "neden bunu yapan tek Mozilla?" Olmalı. IMHO, her yeni iletişim kutusu gösterdikten sonra 1 saniye boyunca düğmeleri etkinleştirmelidir, çünkü yanlışlıkla tıklayabilirsiniz (ya da bir kişi sizin izniniz olmadan tıklatmanızı ister). Bir yere tıkladığımda gerçekten nefret ediyorum ve bir düğmeye basmadan hemen önce bir düğme ortaya çıkıyor. Aynı zamanda birisi sizi 'o' oyuna dokunmak istediğiniz anda sizi aradığında telefonlarda da görülür.
Mike
4
"Bu soruyu yanıtlarsanız, lütfen Firefox posta listelerinden referanslar sağlayın veya günlükleri kaydedin." Eğer bu senin ihtiyacınsa, kendi aramanı yapamaz mısın?
kmm
2
Belki de bulmak o kadar kolay değil ya da dikkate alınması gereken başka şeyler var. Belki de burada birileri daha fazla iç bilgiye sahip olabilirdi - kim bilir? Se se @Kevin
slhck
Kendime bakmaya çalıştım, ancak bilgiyi bulamadım. (Birkaç saat önce bir düzenlemeyle demiştim, ki bir şekilde kaybolmuştu: superuser.com/users/68351/… )
Natan Yellin
@aantn Üzgünüm, soruya gerçekten gerekli bilgileri eklemediği için kaldırmıştım. Genelde insanların önce arama yapmasını bekliyoruz, bu yüzden bundan bahsetmeye gerek yok :)
slhck

Yanıtlar:

71

Neden?

  • Çünkü ne yaptığını düşünmeni istiyorlar
  • Çünkü yanlışlıkla yapılan kurulumları önler
  • Zararlı şekilde tetiklenen kurulumları önlediğinden

Bir yüklemeyi kötü amaçlı olarak nasıl tetikleyebilirsiniz?

İşte Jesse Ruderman'ın güvenlik diyaloglarındaki yarış koşulları hakkında ilginç bir makale :

Saldırının başka bir biçimi, kullanıcıyı ekrandaki belirli bir noktaya çift tıklamaya ikna etmeyi içerir. Bu nokta, 'Evet' düğmesinin görüneceği yer olur. İlk tıklama iletişim kutusunu tetikler; ikinci tıklama 'Evet' düğmesine basar. Bu saldırının Firefox ve Mozilla'ya demosunu yaptım .

Firefox'un çözüm, gelen hata 162020 , etmektir "Evet" / "Yükle" düğmeleri etkinleştirmek gecikme iletişim kutusu görünür üç saniye sonrasına kadar. Bunun, güvenilmeyen içeriğin diyaloğu oluşturma yeteneğini tamamen inkar etmekten başka olası bir çözüm olduğuna inanıyorum. Ne yazık ki, bu düzeltme, uzantıları sık yükleyen kullanıcılar için sinir bozucudur.

Temel olarak, her şey bir kullanıcının ne zaman tıklayacağını tahmin etmek ve daha sonra bir kurulum iletişim kutusundaki o tıklamayı yakalamaktan ibarettir. Ruderman , sonuçta gecikme süresinin dahil edilmesine yol açan Firefox’tan çıkan hata raporunda bu şekilde daha özlü bir oyun durumu açıkladı .

Tekrar özetlemek gerekirse asıl amacı şuydu:

Bir kullanıcının ne zaman ve nerede tıklayacağını denetleyebilir veya tahmin edebilirsem , yazılım yüklemelerini sağlayabilirim .

Gecikme süresine alternatif var mı?

Gecikme süresi kesinlikle bununla baş etmenin tek yoluydu. Bir diğeri, bir şeyi her taktığınızda "Yükle", "İptal" düğmelerini karıştırıyor olabilirdi . Bu çok sık kullanılan bir şeydir, ancak kullanıcıyı yardım ettiğinden daha fazla karıştırır.

Başka bir fikir, her iletişim kutusu için pencere konumunu rasgele taşımak olacaktır . Bu, düğmelerin karıştırılmasıyla aynı şekilde sonuçlanır, yani kullanıcının kafasını karıştırır.

Ayrıca, rastgelelik tanıtımı nihai çözüm değildir. Düğmeler için klavye kısayolları varsa, tuşlara da basabilirsiniz. Her şey söyleniyor, çoğu eklenti zaten resmi Firefox eklenti web sitesinden yüklendiğinden, bugün eski bir özellik gibi görünüyor.

slhck
kaynak
1
Addons.firefox.org sitesinin kurulum izinleri bunu çözmüyor mu?
Natan Yellin
Çok büyük ihtimalle. Kalıcı olarak kabul etme seçeneğine sahip olmanıza yardımcı olur (sertifikalarda olduğu gibi) - genellikle eski "özellik" gibi görünür. Ama ben bir Firefox kullanıcısı değilim, bu yüzden bu konuda yorum yapamam.
slhck
... güzel demo! :)
sebastian_k
Site başına yükleme izinleri kendi başlarına yardımcı olmaz, çünkü kötü amaçlı bir site, izin verilen bir sitedeki bir düğmeyi tıklamanızı sağlamak için sizi kandırabilir . (Evet, agresif tıklama kaçırma savunmalarıyla bile - bu çözülmüş bir sorun değil.)
zwol
@Zack, addons.firefox.org için bir örnek verebilir misiniz?
Natan Yellin,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.