Warum erzwingt Firefox eine Verzögerung von 3 Sekunden, bevor Add-Ons installiert werden?

54

Ich gehe davon aus, dass die Verzögerung von Firefox vor der Installation von Add-Ons einen Sicherheitsvorteil hat, aber für mein ganzes Leben kann ich nicht herausfinden, was es ist. (Ja, ich weiß, dass Sie die Verzögerung deaktivieren können.)

Wenn Sie diese Frage beantworten, geben Sie bitte Referenzen aus Firefox-Mailinglisten oder Commit-Protokollen an.

firefox 
Natan Yellin
quelle
12
Die Frage sollte lauten: "Warum ist Mozilla der einzige, der dies tut?". Meiner Meinung nach sollte jedes neue Dialogfeld die Schaltflächen 1 Sekunde nach dem Anzeigen aktivieren, da Sie möglicherweise versehentlich darauf klicken (oder jemand möchte, dass Sie ohne Ihre Zustimmung darauf klicken). Ich hasse es wirklich, wenn ich irgendwo klicke und dort eine Schaltfläche erscheint, kurz bevor ich klicke. Es kommt auch bei Telefonen vor, wenn Sie gerade angerufen werden, wenn Sie auf die Wiedergabetaste tippen möchten.
Mike
4
"Wenn Sie diese Frage beantworten, geben Sie bitte Referenzen aus Firefox-Mailinglisten oder Commit-Protokollen an." Wenn dies Ihre Anforderung ist, können Sie dann nicht selbst suchen?
kmm 08.08.11
2
Vielleicht ist es nicht so leicht zu finden, oder es gibt einige andere Dinge zu beachten. Vielleicht hätte jemand hier mehr interne Informationen gehabt - wer weiß? Es ist nicht schlecht, per se zu fragen @ Kevin
Slhck
Ich habe versucht, mich umzusehen, aber ich konnte die Informationen nicht finden. (Ich sagte es in einer Ausgabe vor Stunden, die irgendwie verloren ging: superuser.com/users/68351/… )
Natan Yellin
@aantn Entschuldigung, ich hatte es entfernt, da es der Frage nicht wirklich die notwendigen Informationen hinzufügte. Wir erwarten im Allgemeinen, dass die Leute zuerst suchen, es ist also nicht nötig, es zu erwähnen :)
slhck

Antworten:

71

Warum?

  • Weil sie wollen, dass Sie darüber nachdenken, was Sie tun
  • Weil es versehentliche Installationen verhindert
  • Weil es böswillig ausgelöste Installationen verhindert

Wie können Sie böswillig eine Installation auslösen?

Hier ist ein interessanter Artikel über die Rennbedingungen in Sicherheitsdialogen von Jesse Ruderman:

Eine andere Form des Angriffs besteht darin, den Benutzer zum Doppelklicken auf eine bestimmte Stelle auf dem Bildschirm zu verleiten. Dieser Punkt ist der Ort, an dem die Schaltfläche "Ja" angezeigt wird. Der erste Klick löst den Dialog aus; Der zweite Klick klickt auf die Schaltfläche "Ja". Ich habe eine Demo dieses Angriffs für Firefox und Mozilla gemacht.

Ab dem Fehler 162020 besteht die Lösung von Firefox darin, das Aktivieren der Schaltflächen "Ja" / "Installieren" bis drei Sekunden nach dem Erscheinen des Dialogfelds zu verzögern . Ich bin der Meinung, dass dies die einzig mögliche Lösung ist, abgesehen davon, dass nicht vertrauenswürdigen Inhalten die Möglichkeit verweigert wird, den Dialog darzustellen. Leider ist dieses Update für Benutzer, die häufig Erweiterungen installieren, frustrierend.

Im Grunde kommt es darauf an, vorherzusagen, wann ein Benutzer klicken und diesen Klick dann in einem Installationsdialog abfängt. Ruderman erklärte eine präzisere Spielsituation wie diese in seinem Fehlerbericht von Firefox, der letztendlich zur Einbeziehung der Verzögerungszeit führte.

Um es noch einmal zusammenzufassen, sein Hauptpunkt war:

Wenn ich steuern oder vorhersagen kann, wann und wo ein Benutzer klickt, kann ich ihn dazu bringen, Software zu installieren .

Irgendwelche Alternativen zur Verzögerungszeit?

Die Verzögerungszeit war sicherlich nur eine Möglichkeit, damit umzugehen. Ein anderer hätte die Schaltflächen für "Installieren" und "Abbrechen" jedes Mal mischen können, wenn Sie etwas installieren würden. Dies wird sehr oft verwendet, aber es verwirrt den Benutzer mehr als es hilft.

Eine andere Idee wäre, die Fensterposition für jeden Dialog zufällig zu verschieben. Dies hat das gleiche Ergebnis wie das Mischen der Tasten, nämlich den Benutzer zu verwirren.

Auch die Einführung von Zufälligkeit ist nicht die ultimative Lösung. Wenn es Tastaturkürzel für die Tasten gibt, können Sie auch Tastendrücke abfangen. Abgesehen davon scheint es heute eher ein Legacy-Feature zu sein, da die meisten Plugins sowieso von der offiziellen Firefox-Add-On-Website installiert werden.

slhck
quelle
1
Lösen die Installationsberechtigungen für addons.firefox.org das nicht?
Natan Yellin
Höchstwahrscheinlich. Es wäre hilfreich, die Option dauerhaft zu akzeptieren (wie Sie es mit Zertifikaten können) - im Allgemeinen scheint es eher ein Legacy- "Feature" zu sein. Aber ich bin kein Firefox-Benutzer, daher kann ich dies nicht wirklich kommentieren.
Slhck
... coole Demo! :)
sebastian_k
Installationsberechtigungen für einzelne Sites helfen nicht von alleine, da eine böswillige Site Sie dazu verleiten kann, auf eine Schaltfläche auf einer Site zu klicken , der Berechtigungen erteilt wurden . (Ja, auch mit aggressiven Clickjacking-Abwehrmechanismen - dies ist kein gelöstes Problem.)
zwol
@Zack, kannst du ein Beispiel für addons.firefox.org geben?
Natan Yellin
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.