Чому Firefox вимагає затримки на 3 секунди перед встановленням додатків?

54

Я припускаю, що затримка Firefox перед встановленням додатків є перевагою для безпеки, але я не можу зрозуміти, що це таке. (Так, я знаю, ви можете відключити затримку.)

Якщо ви відповідаєте на це запитання, будь ласка, надайте посилання зі списків розсилки Firefox або введіть журнали.

firefox 
Натан Єллін
джерело
12
Питання повинно бути "чому Mozilla єдиний робить це?". IMHO, кожне нове діалогове вікно повинно включати кнопки через 1 сек після їх відображення, оскільки ви можете випадково натиснути на нього (або хтось хоче, щоб ви натискали на нього без вашої згоди). Я дуже ненавиджу це, коли я десь натискаю, і кнопка породжується там перед тим, як натиснути. Це трапляється і з телефонами, коли хтось телефонує вам прямо в той момент, коли ви хочете натиснути цю кнопку "відтворити".
Майк
4
"Якщо ви відповідаєте на це запитання, будь ласка, надайте посилання з списків розсилки Firefox або введіть журнали." Якщо це ваша вимога, то чи не можете ви зробити власний пошук?
кмм
2
Можливо, це не так просто знайти, або є деякі інші речі, які слід врахувати. Можливо, хтось тут мав би більше внутрішньої інформації - хто знає? Непогано запитувати себе @Kevin
slhck
Я намагався подивитися на себе, але не зміг знайти інформацію. (Я сказав це в редагування годин тому, яке було якось втрачено: superuser.com/users/68351/… )
Натан Єллін
@aantn Вибачте, я його видалив, оскільки він насправді не додав необхідної інформації до питання. Ми, як правило, спочатку шукаємо людей, тому не потрібно згадувати про це :)
slhck

Відповіді:

71

Чому?

  • Тому що вони хочуть, щоб ти задумався над тим, що ти робиш
  • Тому що це запобігає випадковій установці
  • Тому що це запобігає зловмисному запуску установок

Як можна зловмисно запустити установку?

Ось цікава стаття про умови перегонів у діалогах безпеки Джессі Рудермана:

Інша форма атаки передбачає переконання користувача двічі клацнути певне місце на екрані. Це місце є місцем, де з’явиться кнопка «Так». Перше клацання запускає діалогове вікно; другий клацання клацне на кнопку "Так". Я зробив демонстрацію цієї атаки для Firefox та Mozilla.

Рішення Firefox від помилки 162020 полягає в тому, щоб затримати включення кнопок «Так» / «Встановити» до трьох секунд після появи діалогового вікна. Я вважаю, що це єдино можливе виправлення, окрім повного заперечення недовірливого вмісту можливості створювати діалог. На жаль, це виправлення засмучує користувачів, які часто встановлюють розширення.

В основному, все зводиться до передбачення, коли користувач натисне, а потім перехопить цей клік у діалоговому вікні встановлення. Рудерман пояснив більш стисну ситуацію з грою на зразок цієї у своєму звіті про помилки від Firefox, що врешті-решт призвело до включення періоду затримки.

Підводячи підсумок, його головним моментом було:

Якщо я можу контролювати або передбачати, коли і де користувач буде натискати, я можу змусити їх встановити програмне забезпечення .

Будь-які альтернативи періоду затримки?

Період затримки, безумовно, був лише одним із способів вирішення цього питання. Ще один міг міняти кнопки для "Встановити", "Скасувати" щоразу, коли ви щось встановлювали. Це щось дуже часто використовується, але воно більше бентежить користувача, ніж допомагає.

Іншою ідеєю було б переміщення місця розташування вікна випадковим чином для кожного діалогу. Це має такий самий результат, як перемішування кнопок, а саме заплутування користувача.

Також введення випадковості не є остаточним рішенням. Якщо для кнопок є комбінації клавіш, ви також можете перехопити натискання клавіш. Все, що говориться, сьогодні схоже на застарілу функцію, оскільки більшість плагінів у будь-якому разі встановлені з офіційного веб-сайту Firefox.

слхк
джерело
1
Чи не вирішують це дозволи на встановлення для addons.firefox.org?
Натан Єллін
Швидше за все. Це допоможе мати можливість постійно приймати (як можна з сертифікатами) - як правило, це більше схоже на спадщину "функцію". Але я не користувач Firefox, тому не можу реально коментувати це.
slhck
... класна демонстрація! :)
sebastian_k
Дозволи на встановлення на сайті не допомагають самі по собі, оскільки шкідливий сайт може наштовхнути вас на натискання кнопки на сайті, якому надано дозволи . (Так, навіть з агресивними захисними захистами - це не вирішена проблема.)
zwol
@Zack, чи можете ви навести приклад для addons.firefox.org?
Натан Єллін
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.