В блоге Mozilla опубликовано сообщение, в котором говорится о изменении в политике работы с расширениями браузера Fifefox. В ближайшее время все они будут проходить обязательную верификацию и получение цифровой подписи.
В сообщении отмечается, что традиционная открытость проекта для всех разработчиков привела не только к положительному результату, но и стала источником определённых проблем. Согласно действующим правилам, программисты могли свободно распространять расширения, не только размещая их в AMO (addons.mozilla.org), но и через собственные сайты. К сожалению, этой возможностью начали пользоваться недобросовестные люди.
В настоящее время существуют расширения, изменяющие домашнюю страницу или параметры поиска без согласия пользователя. Также получили распространения модули, показывающие рекламу или даже внедряющие вредоносные скрипты на сайтах социальных сетей. Борьба с ними усложняется тем, что значительная часть подобных программ загружаются не с AMO, а со сторонних сайтов.
Разработчики Mozilla считают, что они должны отвечать не только за работоспособность и функциональность самого браузера, но и за всю связанную с ним экосистему. Самое простое решение в данной ситуации — полный запрет на установку расширений со сторонних сайтов, как это реализовано в Google Chrome. Однако, от подобных жёстких ограничений пока решено воздержаться.
После прохождения конкретным расширением обязательного рецензирования для него будет сформирована цифровая подпись. Причём новейшие версии дополнений, уже размещённых в репозитории, будут подписаны автоматически.
Если дополнение распространяется не через AMO, то его разработчику придется создать на сервисе учётную запись и предоставить свой продукт для автоматизированного тестирования. Когда проверка будет пройдена успешно, тогда авторы расширения смогут получить его уже подписанным и продолжить распространять файл с собственного сайта.
Если же расширение не пройдёт автоматического теста, то его разработчики вправе попросить проверки вручную. Очевидно, что этот путь потребует больше времени, но именно он позволит минимизировать ущерб от возможных ошибок машинной системы верификации.
Для расширений, которые никогда не будут распространяться публично, предусмотрен третий вариант. Правда, его детали пока неизвестны — о них разработчики Mozilla обещают рассказать позже.
В течении двух циклов выпуска (12 недель) будут действовать правила переходного периода. Неподписанное расширение останется доступным для установки, но пользователю будет показываться специальное предупреждение. По истечении этого срока все непрошедшие проверку дополнения будут блокироваться, причём возможности отключить блокировку в настройках браузера не будет.
Особо подчёркивается, что эти меры распространяются только на релизы и их бета-версии. В ночных сборках, Developer Edition и прочих специальных выпусках подобных ограничений не будет. Также пока не планируется вводить проверки расширений для Thunderbird или SeaMonkey.