Mengapa Firefox memaksakan penundaan 3 detik sebelum menginstal add-ons?

54

Saya kira ada manfaat keamanan untuk keterlambatan Firefox sebelum menginstal add-ons, tetapi untuk kehidupan saya, saya tidak tahu apa itu. (Ya, saya tahu Anda dapat menonaktifkan penundaan itu.)

Jika Anda menjawab pertanyaan ini, berikan referensi dari milis Firefox atau lakukan log.

firefox Natan Yellin
sumber
12
Pertanyaannya seharusnya "mengapa hanya Mozilla yang melakukan ini?". IMHO, setiap dialog baru harus mengaktifkan tombol 1 detik setelah menunjukkannya karena Anda mungkin tidak sengaja mengekliknya (atau seseorang ingin Anda mengkliknya tanpa persetujuan Anda). Saya sangat membencinya ketika saya mengklik suatu tempat dan sebuah tombol muncul di sana tepat sebelum saya mengklik. Ini juga terjadi pada ponsel ketika seseorang memanggil Anda tepat pada saat Anda ingin mengetuk tombol 'putar' itu.
Mike
4
"Jika Anda menjawab pertanyaan ini, berikan referensi dari milis Firefox atau komit log." Jika ini kebutuhan Anda, tidak bisakah Anda melakukan pencarian sendiri?
kmm
2
Mungkin itu tidak mudah ditemukan, atau ada beberapa hal lain yang perlu dipertimbangkan. Mungkin seseorang di sini akan memiliki lebih banyak informasi internal - siapa yang tahu? Ini tidak buruk untuk bertanya per se @ Kevin
slhck
Saya mencoba melihat diri saya sendiri, tetapi saya tidak dapat menemukan informasinya. (Saya mengatakannya dalam edit jam yang lalu, yang entah bagaimana hilang: superuser.com/users/68351/… )
Natan Yellin
@ aantn Maaf, saya telah menghapusnya karena tidak benar-benar menambahkan informasi yang diperlukan ke pertanyaan. Kami biasanya mengharapkan orang untuk mencari terlebih dahulu, jadi tidak perlu menyebutkannya :)
slhck

Jawaban:

71

Mengapa?

  • Karena mereka ingin Anda berpikir tentang apa yang Anda lakukan
  • Karena itu mencegah instalasi yang tidak disengaja
  • Karena itu mencegah instalasi yang dipicu secara jahat

Bagaimana Anda dapat memicu instalasi dengan jahat?

Inilah artikel yang menarik tentang kondisi lomba dalam dialog keamanan oleh Jesse Ruderman:

Bentuk lain dari serangan melibatkan meyakinkan pengguna untuk mengklik dua kali tempat tertentu di layar. Tempat ini adalah lokasi di mana tombol 'Ya' akan muncul. Klik pertama memicu dialog; klik kedua mendarat di tombol 'Ya'. Saya membuat demo serangan ini untuk Firefox dan Mozilla.

Solusi Firefox, dari bug 162020 , adalah menunda mengaktifkan tombol "Ya" / "Instal" hingga tiga detik setelah dialog muncul. Saya percaya bahwa ini adalah satu-satunya perbaikan yang mungkin selain sepenuhnya menolak konten yang tidak dipercaya kemampuan untuk mengajukan dialog. Sayangnya, perbaikan ini membuat frustasi bagi pengguna yang sering memasang ekstensi.

Pada dasarnya, semuanya bermuara pada prediksi kapan pengguna akan mengklik dan kemudian mencegat klik itu dalam dialog instalasi. Ruderman menjelaskan situasi game yang lebih ringkas seperti ini dalam laporan bug dari Firefox-nya, yang akhirnya mengarah pada dimasukkannya periode penundaan.

Untuk meringkas lagi, poin utamanya adalah:

Jika saya dapat mengontrol atau memprediksi kapan dan di mana pengguna akan mengklik, saya dapat meminta mereka untuk menginstal perangkat lunak .

Adakah alternatif untuk periode penundaan?

Periode penundaan tentu hanya satu cara untuk mengatasi hal ini. Yang lain bisa mengocok tombol untuk "Instal", "Batal" setiap kali Anda menginstal sesuatu. Ini adalah sesuatu yang sangat sering digunakan, tetapi membingungkan pengguna lebih dari itu membantu.

Gagasan lain akan memindahkan lokasi jendela secara acak untuk setiap dialog. Ini memiliki hasil yang sama dengan mengocok tombol, yaitu membingungkan pengguna.

Juga, memperkenalkan keacakan bukanlah solusi akhir. Jika ada pintasan keyboard untuk tombol-tombol itu, Anda juga bisa mencegat penekanan tombol. Itu semua dikatakan, sepertinya lebih seperti fitur warisan hari ini, karena sebagian besar plugin diinstal dari situs tambahan resmi Firefox.

slhck
sumber
1
Bukankah izin instalasi untuk addons.firefox.org menyelesaikan masalah ini?
Natan Yellin
Paling mungkin. Ini akan membantu untuk memiliki opsi untuk menerima secara permanen (seperti yang Anda dapat dengan sertifikat) - umumnya tampaknya lebih seperti "fitur" warisan. Tapi saya bukan pengguna Firefox, jadi saya tidak bisa mengomentari ini.
slhck
... demo keren! :)
sebastian_k
Izin instalasi per-situs tidak membantu sendiri, karena situs jahat dapat mengatur untuk menipu Anda agar mengklik tombol pada situs yang telah diberikan izin . (Ya, bahkan dengan pertahanan clickjacking yang agresif - ini bukan masalah yang dipecahkan.)
zwol
@Zack, dapatkah Anda memberikan contoh untuk addons.firefox.org?
Natan Yellin