Estensioni di Firefox e Chrome: quali sono --- ceteris paribus --- più sicuro?

La tua ipotesi non è corretta, i componenti aggiuntivi di Firefox non sono intrinsecamente più sicuri delle estensioni di Chrome (anche se in termini di sicurezza, aggiungo più valore a addon ufficiale di Firefox galleria (AMO) rispetto al Chrome Web Store perché tutti i componenti aggiuntivi su AMO vengono esaminati manualmente).

I componenti aggiuntivi di Firefox sono considerati affidabili; possono fare tutto ciò che è permesso dal processo di Firefox. Lo scenario peggiore per l'installazione di un addon per Firefox dannoso è una reinstallazione del sistema operativo per ripulire il caos.

Le API di estensione di Chrome sono molto limitate, poiché il browser Chrome non si fida completamente delle estensioni (diversamente da Firefox). Le estensioni Chromium in genere non accedono a risorse esterne alla sandbox di Chrome senza l'approvazione dell'utente. Lo scenario peggiore in Chrome è meno severo di Firefox (e applicabile anche a Firefox): tutte le tue attività di navigazione sul Web possono essere considerate compromesse.

Poiché la maggior parte di noi impiega sempre più tempo nel browser Web rispetto alle applicazioni native (ad esempio, Internet banking, e-mail), è un atto stupido installare estensioni di cui non ci si può fidare. Considerando questa visualizzazione, le estensioni di Chrome potrebbero essere più sicure perché devi consentire ogni autorizzazione appena richiesta dopo l'installazione / l'aggiornamento. Firefox non ha implementato alcun avviso di autorizzazione di addon, quindi quando installi un addon di Firefox, dovresti sempre aggiungere mentalmente un "questo addon potrebbe accedere a tutti i dati sul tuo computer e ai siti web che visiti" all'avviso di installazione.

D'altra parte, poiché gli addon di Firefox sono più potenti, possono anche integrare le funzionalità di sicurezza in un modo molto migliore rispetto alle estensioni di Chrome. Ad esempio, ad oggi non è possibile creare un NoScript equivalente in Chrome a causa del API di estensione limitata.

Se vuoi saperne di più sulla progettazione della sicurezza delle estensioni di Chrome, ti suggerisco di leggere:

• Barth, Adam, et al. "Protezione dei browser dalle vulnerabilità dell'estensione." NDSS . 2010., disponibile all'indirizzo link
  Le basi di sicurezza / design della piattaforma di estensione di Chrome.

• Carlini, Nicholas, Adrienne Porter Felt e David Wagner. "Una valutazione dell'architettura di sicurezza di Google Chrome Extension." USENIX Security Symposium . 2012., disponibile all'indirizzo link
  Una valutazione dell'efficacia dell'architettura di sicurezza delle estensioni di Chrome.

• Elenco di controllo della sicurezza dell'API CRX
  Elenco di controllo di sicurezza per sviluppatori di API di estensione di Chrome.

Do they just appear to be more secure, or are they really?

Anche se questo è in continua evoluzione con la continua attività di Firefox per migliorare la sicurezza, molti dei loro componenti aggiuntivi appaiono più sicuri di loro. Principalmente a causa di quali problemi non sono ancora stati scoperti . Nota i noti problemi di NoScript descritti nel seguente articolo di sicurezza qui . E altri problemi con i componenti aggiuntivi di Firefox hanno discusso qui . Questo non è un attacco a Firefox. La prossima settimana Chrome potrebbe ricevere la stessa attenzione da parte dei media negativi.

Entrambi i team sviluppano le loro API (e limiti API) con la sicurezza dell'utente finale in mente. Con le nuove vulnerabilità scoperte di frequente nella ricerca sulla sicurezza informatica, in qualsiasi momento un team di sviluppatori può essere in vantaggio rispetto all'altro.

Io uso sia Chrome che Firefox e ho difficoltà a inserirne uno solo perché, non appena lo faccio, trovo una vulnerabilità in una che è fissa nell'altra.