Wie Add-Ons prüfen ob "seriös" bzw. ohne Viren o.ä.?

    Hallo,

    ich betreibe den aktuellen Fuchs unter XP Pro. und nutze keinerlei Add-On's.

    Heute habe ich erstmalig in all den Jahren

    Easy YouTube Video Downloader 3.2 von Deepesh Agarwal

    https://addons.mozilla.org/de/firefox/addon/10137

    installiert, war damit aber nicht zufrieden und habe es auch anschließend sofort deinstalliert.

    Jetzt würde mal gerne erfahren wie sehr ein Add-On den Fuchs überhaupt angreifen kann bzw. wie ich überhaupt prüfen kann ob ein Add-On seriös ist bzw. nicht schon mit Dealern, Trojanern & Co. belastet ist?

    Kann man Add-Ons über einen Antivirenscanner eigentlich vorher prüfen?

    Vielen Dank

    JD

    Prüfen ja, bleibt nur die Frage, ob sie den Code darin auch vollständig erfassen und
    analysieren können - was ich stark bezweifle. Du müsstest den Code dann schon selbst
    untersuchen, insofern das deine Fähigkeiten zulassen. Oder auf die Wertungen dort vertrauen.
    Oder ganz einfach ausgedrückt: schwarz-weiss, ja-nein.
    Willst du es benutzen, ja/nein?
    Wäre es deine einzige Option, ja/nein?
    Gibt es noch andere ähnlich Erweiterungen, ja/nein?

    Zitat

    Jetzt würde mal gerne erfahren wie sehr ein Add-On den Fuchs überhaupt angreifen kann

    Den Fx bzw. die im Profil angelegten persönlichen Daten im Rahmen der API (siehe dazu auf https://developer.mozilla.org/). Darüber hinaus kann über die API jegliche sensible Dateneingabe (bspw. Passwörter) mitgeschnitten oder dein gesamter Datenverkehr im Fx protokolliert und ausgewertet werden.
    Darüber hinaus hat eine Erweiterung über die Schnittstellen die Möglichkeit auf dein System einzuwirken, wenn dies eine falsche Rechtevergabe zulässt.
    Ich hoffe dies verdeutlicht, wie sensibel der Bereich ist.

    Zitat von boardraider

    Hallo,

    genau aus dem Grund habe ich mich auch mit Add-Ons sehr zurück gehalten, jedenfalls auf meinem Hauptrechner wo gar kein existierten.

    Ich ärgere mich über mich selber das ich dieses Add-On überhaupt installiert habe. :roll:

    Jetzt ist es zwar deinstalliert und ich will dem Verfasser auch nichts negatives unterstellen, mich würde nur mal generell interessieren wie und ob ich ein Add-On prüfen kann. Viele Abrufe o.ä. bedeuten ja nicht da es bei gewissen Add-Ons kein Hintertürchen gibt, oft ist es eine Frage bis sie entdeckt werden.

    Vielen Dank

    JD

    Zitat von jd_cort

    ..oft ist es eine Frage bis sie entdeckt werden.

    ..eine Frage der Zeit, meintest du wohl!? Neue Erweiterungen kommen bei AMO immer erst in die Sandbox. Sollten sich Schweinereien hinter einer Erweiterung verstecken, kommt das ziemlich schnell heraus. Wenn du das nächste Mal vor hast eine Erweiterung zu installieren kannst du ja hier zum Beispiel mal im Forenbrett Erweiterungen nachfragen. Oder du könntest die Aufgabe schildern, die diese Erweiterung können soll und um Vorschläge bitten.

    Quelle: Boersenfeger

    Zitat von Boersenfeger

    Sollten sich Schweinereien hinter einer Erweiterung verstecken, kommt das ziemlich schnell heraus.

    Geschädigt ist man dann trotzdem. Zudem zeigte das Prüfsystem der Erweiterungen bei Mozilla schon ein paar Lücken. Im Zweifel darauf verlassen würde ich mich nicht.

    Bei der Ausgangsfrage ist zwischen zwei Dingen zu unterscheiden:
    Die Erweiterung könnte - wie jede Software, die man verwendet - kompromittiert sein. Und wie immer: es gibt keine absolute Sicherheit, aber durchaus recht aussagestarke Möglichkeiten zur Kontrolle, zum Beispiel die Überprüfung bei einem Dienst wie Virus Total.

    Komplizierter ist die Fragestellung, ob eine Erweiterung eventuell - und wahrscheinlich unwissentlich - Sicherheitslücken im Browser öffnet, die unter Umständen auch das regelmäßige Updaten von Betriebssystem, Browsern und Plugins (Java & Co.) unterlaufen. Komplizierter deswegen, weil sich so etwas selbst bei Untersuchung des Quellcodes gar nicht auf Anhieb erkennen läßt. (Sicherheitslücken in einer quelloffenen Software wie dem FF zeigen auf, daß weder die Programmierer noch die Sicherheitsdienstleister so etwas auf Anhieb wie die Addition von 1 + 1 beantworten können.) Und hier gilt sicherlich: Jede Software, also auch jede Erweiterung birgt das Potential für zusätzliche Angriffsflächen, also sollte man durchaus kritisch die Auswahl treffen. Ob eine Totalverweigerung angemessen ist, muß und kann jeder für sich entscheiden; in manchen Fällen würde ich sogar den Verzicht auf bestimmte Erweiterungen als das größere Sicherheitsrisiko ansehen, zum Beispiel im Falle von NoScript.

    Eins sollte klar sein: So berechtigt, wie die aufgeworfene Frage ist - alleine die Tatsache, sich darüber den Kopf zu zerbrechen zeugt von einem bewußten Umgang mit solch wichtigen Fragen -, Sicherheit von Computern fängt nicht bei FF-Erweiterungen an und hört bei ihnen noch lange nicht auf. Es gibt keine absolute Sicherheit. Wichtig ist dagegen ein Konzept, mit dem Sicherheitsrisiken überschaubar bleiben und minimiert werden.

    In Bezug auf Add-ons heißt das IMHO: Erst gucken, ob man das wirklich braucht. Themes & Co (betrifft keineswegs nur den FF) fallen so gut wie nie in diese Gruppe, Erweiterungen teilweise schon.

    Dass jede Software Sicherheitslücken hat, ist wohl für die meisten klar, viel gemeiner ist aber, wenn die Entwickler die bösartige Funktionen absichtlich implementieren. Besonderes bei solchen Ein-Man-Projekten, wie die meisten Erweiterungen, muss man darauf aufpassen. Was mir aber nicht ganz klar ist, wie denn sowas bei Firefox-Add-on's passieren kann, denn laut Entwickler-Dokumentation ist eine Überprüfung vom Quellcode Pflicht, sowohl bei neuen Erweiterungen als auch derer Aktualisierungen: aus https://addons.mozilla.org/de/developers/…olicies/reviews

    Zitat

    All add-on submissions that wish to be public must be reviewed by an Editor. As part of this process, an Editor will review your add-on's source code and any changes that have been made since the last version, if applicable.

    Selbst bei den proprietären Komponenten, muss der Quellcode von Editor-Team gelesen werden:

    Zitat

    Add-ons may contain binary, obfuscated and minified source code, but Mozilla must be allowed to review a copy of the human-readable source code of each version of a hosted add-on submitted for review.

    Wie kommt es dann aber dazu, wie das hier http://princo.wordpress.com/2009/05/02/kri…s-adblock-plus/ ? Oder ist die Überprüfung nicht so ernst wie es auf Mozilla-Seite klingt? Hat hier schon jemand eine Add-on-Review gemacht?

    Erstens gibt es Erweiterungen nicht nur bei AMO.
    Zweitens verweise ich auf meinen obigen Satz in Klammern (den mit der Addition von 1 + 1)
    Drittens ist das verlinkte Beispiel keines im Zusammenhang mit Sicherheitslücken oder Schadware (und im übrigen nur noch von historischer Relevanz; der NoScript-Autor hatte sich entschuldigt und das falsche Verhalten zurückgenommen).

    Zitat von rogi

    Wie kommt es dann aber dazu, wie das hier http://princo.wordpress.com/2009/05/02/kri…s-adblock-plus/ ? Oder ist die Überprüfung nicht so ernst wie es auf Mozilla-Seite klingt?

    Bis zu diesem Vorfall gab es einige "vertrauenswürdige" Entwickler (darunter auch der von NoScript), deren Add-ons ohne Prüfung freigeschaltet wurden. Danach hat man sich das dann so viel ich weiß anders überlegt und jetzt wird vor der Freischaltung wirklich alles überprüft...

    Zitat

    Krieg der Firefox-Extensions (NoScript vs. Adblock Plus)


    Olle Kamellen...
    Und das mit den Alternativen stimmt so nicht.
    Ad Muncher als Bezahllösung und Proxomitron (nebst Derivaten) als Freeware.
    Arbeiten jedoch alle als systemweite Lösung, nicht als Erweiterung, ist aber auch kein Nachteil.

    Vielen Dank an alle für die schnelle Antworten

    Cosmo: Mir persönlich ging's um den Aspekt, wie vertrauenswürdig die Erweiterungen von AMO sind, deswegen diese Lenkung. Bei NoScript handelte es sich um eine Funktion, die man sicherlich nicht so einfach übersehen würde als es bei den Pufferüberläufen und ähnlichen unbeabsichtigten Schwachstellen der Fall wäre, und natürlich auch nicht zulassen würde, obwohl, wie schon richtig erwähnt, es keine so bösartige Funktion war. Trotzdem, wenn sowas durchkommt, lässt sich genau so Schadcode implementieren.

    Dr. Evil: Danke für dein Hinweis, der Gedanke, dass da seitdem was geändert sein könnte, ist mir gar nicht eingefallen. Dann kann ich wohl mir doch weniger Sorgen um paar Erweiterungen machen, die ich gerne nutze :)