Sito Ufficiale del Mensile di informazione del "Municipio Montesacro" Edito e Diretto da Roberto Borgheresi

Home | Rubrica | Forum | Contattaci | Mappa

Gli add-ons creano problemi: le sfide di "polizia" nell'ecosistema Firefox
2/03/2012 18:43:23

Il problema è aggravato da un software esterno che dirotta impostazioni del browser e aggira i meccanismi che il browser utilizza per proteggere gli utenti da invadenti add-ons. Michael Verdi ha scritto un post sul proprio blog la scorsa settimana, richiamando l'attenzione sul problema e sul comportamento discutibile osservato nella barra degli strumenti del browser Ask.

Quando il browser visualizza il prompt, la Barra Ask updater dipinge una freccia gigante verde sullo schermo, indicando l'opzione "Consenti l'installazione".

Un certo numero di popolari applicazioni gratuite per Windows, come ad esempio il client di instant messaging Trillian, bundle la barra degli strumenti Ask.com nelle loro installatori. Una volta installato, la barra degli strumenti Ask prenderà la residenza sotto barra di navigazione del browser. E cambierà anche dell'utente home page predefinita di Ask.com e modificare il browser integrato nella casella di ricerca in modo che Ask.com è il motore di ricerca predefinito.

Naturalmente, nessuno di questi comportamenti sono tutto ciò di che sorprendente. I plugins sulla barra degli strumenti messi a disposizione dai vari fornitori sono stati in giro per anni e hanno storicamente afflitto gli utenti in modo analogo su più browser. Mozilla ha affrontato la questione lo scorso anno aumentando, in Firefox Add-on, il sistema con il meccanismo di protezione che disattiva la forza dei componenti aggiuntivi scaricati all'avvio e che poi visualizzavano un prompt, dando agli utenti il controllo su quali sono abilitati.
Il problema che solleva Verdi nel suo blog è che l'ultima versione del programma di installazione della toolbar di Ask assume la schermata del prompt e indica agli utenti di consentire all'installazione di continuare. Il modo in cui lo fa potrebbe creare confusione tra gli utenti, dando loro l'impressione errata che il browser sta indicando a loro di attivare il componente aggiuntivo.

L'aggiornamento della barra degli strumenti Ask è un processo in background che viene lasciato in esecuzione sul computer, monitora Firefox per determinare quando il browser sta mostrando il rogue add-on di protezione prompt. Quando il browser visualizza il prompt, la Barra Ask updater dipinge una freccia gigante verde sullo schermo, indicando l'opzione "Consenti l'installazione". Si dipinge anche una bolla gialla alla fine della freccia istruire l'utente a fare clic sulla casella di controllo.

Ask.com non ha voluto per questa sovrapposizione di ingannare gli utenti. L'azienda a quanto pare fece uno sforzo per ridurre la potenziale confusione inserendo la frase "Powered by Ask" in lettere minuscole sulla bolla gialla. La società ha inoltre contattato Mozilla prima di implementare la sovrapposizione.

Ma questo sforzo non è davvero sufficiente per evitare confusione. Come Verdi spiega, la comunita end-user di supporto per Firefox vede spesso gli utenti che lottano per ottenere il loro motore di ricerca predefinito e la pagina di tornare a casa dopo che le impostazioni sono state modificate senza il loro consenso da applicazioni di terze parti. Gli utenti tendono ad incolpare il browser per attivare le modifiche e non si rendono conto della vera causa. Come molti pezzi simili di software, la barra degli strumenti Ask non ripristinare le impostazioni originali dell'utente quando viene disinstallato.

In una dimostrazione video sul post del blog, Verdi ha mostrato come la barra degli strumenti è in bundle con Trillian. Quando un utente avvia il programma di installazione Trillian e fa clic semplicemente sul pulsante "Avanti" fino in fondo senza leggere le singole pagine, ottengono la barra degli strumenti in impostazione predefinita, senza rendersi conto di che cosa si sta installando.

Verdi ha presentato una relazione sulla Barra Ask, chiedendone che venga migliorata per evitare la manomissione. Quando divenne chiaro che la mascherina è stata effettivamente attuata dall'installazione di Ask al di fuori del browser, il rapporto è stato chiuso con lo stato "WONTFIX" perché non ci sono mezzi tecnici con cui tale manomissione può essere prevenuta.

Un'altra problematica add-on che è stato recentemente chiamato da un impiegato Mozilla è il McAfee Site Advisor, un prodotto che si integra con il browser Web dell'utente e che valutala sicurezza dei siti web. Nicholas Nethercote, che conduce MemShrink, un progetto di Mozilla, ha pubblicato un avvertimento di una "perdita di memoria terribile" nel browser con l'add-on di McAfee.

Ha studiato lo stesso add-on dopo aver visto i rapporti da parte degli utenti circa l'utilizzo della memoria gonfiato. Ha scoperto che ha un impatto fortemente negativo sul consumo di memoria di Firefox ed è così brutto che possa potenzialmente far decadere le prestazioni del browser e la stabilità.

Ha presentato una segnalazione di bug all'inizio di questo mese, in modo che Mozilla lo podds inserire nella lista nera l'add-on, solo se McAfee dimostra l'incapacità di risolvere il problema in modo tempestivo. Fortunatamente, McAfee ha iniziato a lavorare per risolvere il problema quando è stato portato alla sua attenzione. La società ha rilasciato un aggiornamento di questa settimana che risolve riferito il sovraccarico della memoria di grandi dimensioni.

Questa non è la prima volta che i problemi sono sorti con McAfee add-ons. La società di SiteAdvisor e ScriptScan add-on sono stati entrambi esaminati da Mozilla lo scorso anno a causa di crash e bug. Questi incidenti illustrano ulteriormente come il codice di terze parti può degradare l'esperienza utente di Firefox. Gli utenti che non si rendono conto che un add-on è responsabile per i problemi che essi incontrano nell'accesso Firefox probabilmente la colpa al browser stesso, piuttosto che il colpevole reale.

Lotta contro gli add-ons
Le politiche di Mozilla nel suo ecosistema add-on e nella regolare verifica sulla sicurezza e sulla stabilità dei componenti aggiuntivi di terze parti, i quali ospitati sul sito web ufficiale addons.mozilla.org (AMO). Mozilla ha recentemente ampliato il processo di revisione AMO per includere un'analisi più intensivo nel consumo della memoria in modo rale da non inserire quei add-ons che soffrono di perdite gravi.

Un numero significativo di popolare add-on vengono installati da fonti esterne, tuttavia, il che significa che essi non sono sottoposti a processo di revisione di Mozilla. Justin Scott, che guida di Mozilla Add-on del team, ha riferito lo scorso anno che solo il 25 per cento dei 600 milioni di add-ons utilizzati ogni giorno da utenti di Firefox sono ospitati in AMO.

Mozilla ha molta poca influenza negli add-ons che sono ospitati al di fuori del proprio repository. L'ultima linea di difesa di Mozilla è la lista nera. Il meccanismo di blacklist è un remote kill-switch che permette a Mozilla di disabilitare immediatamente gli add-ons "abusivi". Viene utilizzato solo nelle situazioni più estreme, come una soluzione di ultima istanza.

La lista nera è utilizzata per disabilitare i componenti aggiuntivi che espongono agli utenti di privacy gravi o rischi per la sicurezza. E 'stato utilizzato dieci volte fino a febbraio per terminare add-on che si comportava come malware. Mozilla pubblica un elenco completo dei lista nera add-ons per scopi di trasparenza. Un breve sguardo ad alcune delle voci piu 'recenti mostrano comportamenti come rubare i cookie di Facebook dell'utente o l'iniezione di pubblicità supplementari nelle pagine web. Mozilla richiede in genere l'azione nei confronti di tale add-on in fretta. In caso di estremamente ovvio comportamento dannoso, un add-on può essere inserito nella lista nera entro poche ore dopo essere stato segnalato.

La lista nera può anche essere usato per uccidere buggy add-ons che stanno avendo conseguenze negative prodigiosamente per prestazioni e stabilità. Un precedente degno di nota è un incidente accaduto lo scorso anno quando Mozilla ha deciso di bloccare barra degli strumenti di Skype add-on per Firefox. Il Skype add-on di Firefox crasha circa 33.000 volte in una sola settimana e ne degrada le prestazioni di Firefox così tanto che la manipolazione del DOM è 300 volte più lento in alcuni casi. L'add-on è stato rimosso dalla lista nera dopo che i problemi sono stati risolti.

Le sfide del mantenimento di un ecosistema
Le difficoltà che sta affrontando da Mozilla Add-ons sono simili a quelle affrontate da qualsiasi piattaforma, che è aperto a software di terze parti. A onore di Mozilla, l'organizzazione ha gestito la questione in modo positivo, con un focus sulla applicazione trasparente e la libertà degli utenti.

Alla luce della situazione, non è difficile capire perché Microsoft ha scelto di vietare plugin di Internet Explorer completamente l'esperienza di navigazione di Windows 8 della metropolitana. L'aspetto negativo di tale scelta estrema, tuttavia, è che si ridurrà notevolmente la flessibilità del browser per gli utenti che si affidano a terze parti utili miglioramenti. Non è ancora chiaro se la decisione di Microsoft si blocca strumenti popolari come la Evernote Web Clipper e 1Password fuori il sapore Metro di Internet Explorer.

Ci sono problemi analoghi in gioco nello spazio operativo più ampio sistema. La proliferazione di software problematico sta mettendo pressione sui vendor di piattaforme per imporre politiche sempre più restrittive sui loro ecosistemi e delle rispettive erette barriere tecniche che limitano la flessibilità del codice di terze parti.

LA mossa di Apple di incaricare sandboxing nel Mac App Store e incoraggiare la firma del codice per le applicazioni esterne desta serie preoccupazioni tra alcuni di vecchia data di Mac OS X. Ma Apple ritiene che tali misure sono necessarie per proteggere gli utenti dalla minaccia piccola ma in crescita del malware Mac OS X. Microsoft è altrettanto pronta a rispondere alla minaccia di malware spostando verso un approccio più restrittivo nella gestione software di terze parti per l'ambiente Metro.

La sfida di creare un ecosistema che offre una ricca estensibilità senza compromettere la sicurezza degli utenti finali è probabile che sia un grosso problema nel settore del software per molti anni a venire. Il modo in cui la piattaforma fornisca equilibrio responsabilizzando l'utente e la sicurezza sarà un fattore importante che modella i contorni dell'informatica moderna.

Di Sofien Vannutelli.




[ Torna a Informatica | Versione Stampabile]
Accedi/Registrati
Nome utente:

Password:


Hai perso la password?

Registrati ora!