Firefox richiede che la maggior parte dei componenti aggiuntivi sia firmata digitalmente da Mozilla prima di poter essere installata. Questo processo aiuta a proteggere l'utente da componenti aggiuntivi malevoli che potrebbero compromettere il browser, rubare informazioni o inserire annunci pubblicitari indesiderati.

Mozilla si rende perfettamente conto che alcuni utenti ritengano che ciò limiti la loro libertà di scelta. Sebbene questa politica non sia facoltativa nelle versioni standard di Firefox, l'utente ha comunque il controllo su quali componenti aggiuntivi firmati installare e gli sviluppatori dispongono di linee guida chiare per ottenere la firma dei loro componenti aggiuntivi.

Questo articolo spiega:

• Perché la firma dei componenti aggiuntivi è obbligatoria
• Quali componenti aggiuntivi necessitano della firma
• Che cosa succede se un componente aggiuntivo non è firmato
• Opzioni per utenti esperti e sviluppatori

I componenti aggiuntivi che possono modificare le impostazioni del browser senza il consenso dell'utente o rubare le sue informazioni sono diventati sempre più comuni. Alcuni componenti aggiuntivi possono aggiungere barre degli strumenti o pulsanti indesiderati, modificare le impostazioni di ricerca o inserire annunci pubblicitari nel computer. Tramite Firefox ora viene verificato digitalmente che i componenti aggiuntivi installati siano stati firmati da Mozilla. Questo articolo spiega la funzione di firma dei componenti aggiuntivi e il suo funzionamento.

Che cosa si intende per firma dei componenti aggiuntivi

I componenti aggiuntivi offrono a Firefox potenti opzioni di personalizzazione. Ma negli ultimi anni, i componenti aggiuntivi dannosi o ingannevoli sono diventati più comuni. Questi potrebbero:

• Modificare la pagina iniziale o le impostazioni di ricerca senza consenso.
• Inserire annunci, elementi traccianti o barre degli strumenti nelle pagine.
• Rubare dati di navigazione o credenziali di accesso.

Per ridurre questi rischi, Mozilla verifica i componenti aggiuntivi e applica una firma digitale. Solo i componenti aggiuntivi firmati possono essere eseguiti nelle versioni ufficiali di Firefox.

Tutti i componenti aggiuntivi ospitati sul sito addons.mozilla.org devono passare questo processo di revisione per poter essere firmati. I componenti aggiuntivi ospitati su siti diversi devono seguire le stesse linee guida per essere firmati da Mozilla.

Quali componenti aggiuntivi necessitano della firma

I seguenti componenti aggiuntivi devono essere firmati:

• Estensioni (componenti aggiuntivi che aggiungono funzionalità a Firefox)
• Temi (componenti aggiuntivi che modificano l'aspetto visivo di Firefox)
• Pacchetti per le lingue

I seguenti componenti aggiuntivi non richiedono la firma:

• Plugin
• Motori di ricerca

Che cosa succede se si installa un componente aggiuntivo non firmato

• Tramite Firefox verrà bloccata l'installazione dei componenti aggiuntivi non firmati.
• Se se ne ha già uno installato, tramite Firefox verrà disattivato automaticamente e verrà visualizzato un messaggio nel gestore dei componenti aggiuntivi.
• Se esiste una versione firmata, è possibile reinstallarla dal sito ufficiale dei componenti aggiuntivi per Firefox.

Se Firefox disattiva i componenti aggiuntivi

1. Verificare la disponibilità di aggiornamenti: assicurarsi di utilizzare la versione più recente di Firefox. Una versione obsoleta potrebbe non riuscire a verificare i componenti aggiuntivi.
   • Leggere l'articolo: Aggiornamento di Firefox.
2. Cercare le versioni firmate: visitare il sito addons.mozilla.org (AMO) per vedere se lo sviluppatore ha pubblicato una versione aggiornata.
3. Contattare lo sviluppatore: se non esiste una versione firmata, è possibile contattare lo sviluppatore e richiedere che sottoponga il proprio componente aggiuntivo per la firma.

Se si vuole continuare ad utilizzare un componente non firmato (per utenti esperti)

Le versioni standard di Firefox non consentono componenti aggiuntivi non firmati. Tuttavia, esistono versioni speciali di Firefox che offrono maggiore flessibilità:

• Firefox Extended Support Release (ESR): alcune versioni consentivano di ignorare il requisito, ma anche le versioni ESR più recenti applicano la firma.
• Firefox Developer Edition e Nightly: in queste versioni è possibile disattivare i controlli della firma a scopo di test.
• Versioni di Firefox "unbranded" (senza marchio): queste versioni consentono di disattivare l'obbligo della firma, ma sono destinate principalmente a sviluppatori e organizzazioni.

Per modificare la preferenza relativa all'obbligo della firma nelle build supportate:

1. Nella barra degli indirizzi, digitare about:config e premere Invio.
2. Fare clic su Accetta i rischi e continua.
3. Cercare:
   • xpinstall.signatures.required (estensioni)
   • extensions.langpacks.signatures.required (pacchetti linguistici)
4. Impostare il valore su false.

Per gli sviluppatori

Se si è uno sviluppatore di componenti aggiuntivi:

• Tutti i componenti aggiuntivi devono essere inviati per la firma, anche se vengono distribuiti al di fuori di addons.mozilla.org (AMO).
• La firma garantisce che il componente aggiuntivo superi i controlli di sicurezza di base.
• Leggere: Signing and distributing your add-on e Review Policies.

Autonomia dell'utente e filosofia di Mozilla

Mozilla comprende perfettamente che alcuni utenti ritengano fermamente di dover essere in grado di installare qualsiasi software sul proprio computer. Mozilla bilancia tale autonomia con la responsabilità di proteggere la maggior parte degli utenti da componenti aggiuntivi dannosi.

Sebbene i componenti aggiuntivi non firmati non siano supportati nelle versioni ufficiali, gli utenti esperti e gli sviluppatori possono comunque utilizzare versioni speciali di Firefox per aggirare la firma. Questo approccio protegge la maggior parte degli utenti, lasciando al contempo flessibilità a coloro che la desiderano.

Articoli correlati

• Risoluzione dei problemi relativi a estensioni e temi
• Editor di configurazione di Firefox
• Aggiornamento di Firefox