Erweiterung kann machen was sie will?

    Ich habe gestern die Erweiterung "Fox Torrent" ausprobiert.

    Heute stelle ich fest das die Erweiterung sich nicht nur im Fx eingebunden hat, sondern noch zusätzliche Software installiert hat, diese im Autostart eingebunden hat, und auch bei "Software" in der Systemsteuerung zu finden ist.

    Installiert habe ich die Erweiterung, indem ich die Datei in das Fx Fenster gezogen habe.

    Also das überascht mich dann doch schon sehr.

    Da wären wir wieder beim Thema: Gefahr von Erweiterungen. Die Erweiterung kann alles machen was Firefox (theoretisch) kann.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

    Die Erweiterung wird in den Fx eingebunden. Der Code darin wird durch den Fx-Prozess ausgeführt. I.d.R. erbt der Prozess die Rechte des Users, der ihn gestartet hat. Dein Account ist dazu berechtigt, also auch die Erweiterung.

    Erweiterungen können alles was der Benutzer auch kann. Alles auslesen, alles installieren, alles löschen. Wenn man auf die Java-Seite geht, bekommt man dort auch automatisch ein xpi angeboten, dass dann Java installiert. Ich benutze als Erweiterung einen HTML-Validator. Auch für den müssen Fx-Fremde Elemente/Funktionen mitgebracht und installiert werden.

    Von der Leistungsfähigkeit unterscheidet sich eine Erweiterung nicht von einer ActiveX-Control.

    Ok, ist ja auch bei näherer Betrachtung einleuchtend.
    Allerdings fällt das meines Erachtens nach trotzdem unter "überraschend".

    Der Umgekehrte Weg war mir ja bisher bewust, also das Programme Erweiterungen in den Fx integrieren können.
    Umgekehrt ist mir das halt noch nicht vorgekommen.

    Bleibt die Frage ob das denn sein muss. Oder ob das überhaupt sein darf.

    Z.B. könnte bei Erweiterungsinstallationen nach dem Neustart ein Hinweis kommen:
    Z.B "Die Erweiterung XYZ soll in den Firefox eingebunden werden. Erlauben oder Verbieten."
    Sowas in der Art.

    Das wäre ein minimaler Aufwand denke ich mal, würde aber das/(mein) Sicherheitsempfinden deutlich steigern.

    Kann jedes Programm übergehen, wenn es will. Es hat kompletten Schreibzugriff auf die Fx-Dateien und kann daher auch die Installationsnachfrage untergraben. Wenn wer ohne nachfragen Toolbars installiert, hat eh jede Daseinsberechtigung auf deinem System verwirkt.

    Zitat von Palli

    Das wäre ein minimaler Aufwand denke ich mal, würde aber das/(mein) Sicherheitsempfinden deutlich steigern.


    Das würde auch nur dein Empfinden steigern mehr nicht.

    Defakto müsste man die Informationen ob eine Erweiterung neu ist oder nicht im Profilordner in Form einer Datei speichern. Da Firefox die verändern/auslesen muss braucht er bzw. der User unter dem Firefox läuft Lese- und Schreibrechte auf diese Datei. Was da für ein Schutz übrig bleibt sollte klar sein.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

    Zitat

    Da Firefox die verändern/auslesen muss braucht er bzw. der User unter dem Firefox läuft Lese- und Schreibrechte auf diese Datei.


    Vollkommen richtig. Es bliebe nur auf Ebene der Rechteverwaltung im Dateisystem/OS den Zugriff auf die Datei zu sperren und nur im Falle einer bewussten Installation einer Erweiterung diese Rechte temporär zu ändern. So wie es bei jeder Software-Installation eigentlich sein sollte.