Firma dei componenti aggiuntivi in Firefox

Informazioni sulla versione
  • ID versione: 147960
  • Data di creazione:
  • Autore: Michele Rodaro
  • Commento: Eliminati riferimenti alla versione 45 ESR e contenuto obsoleto
  • Revisionata:
  • Revisionata:
  • Revisionata da: michro
  • Approvata?
  • Versione corrente? No
  • Pronta per la localizzazione: No
Sorgente della versione
Contenuto della versione

Negli ultimi anni sono diventati sempre più comuni i componenti aggiuntivi malevoli, che possono modificare le impostazioni di Firefox senza il consenso dell'utente o sottrarre dati sensibili. Alcuni di questi componenti si presentano sotto forma di barre degli strumenti o pulsanti indesiderati, modificano il comportamento delle ricerche o iniettano annunci pubblicitari nel dispositivo in uso. In questo articolo viene spiegato che cosa è il sistema di firma dei componenti aggiuntivi e come funziona.

Che cosa si intende per firma dei componenti aggiuntivi

I componenti aggiuntivi che si conformano ad una serie di linee guida relativi alla sicurezza vengono sottoposti da Mozilla ad un processo di verifica e vengono "firmati" digitalmente. Tutti i componenti aggiuntivi ospitati sul sito addons.mozilla.org devono passare questo processo di revisione per poter essere firmati. I componenti aggiuntivi ospitati su siti diversi devono seguire le stesse linee guida per essere firmati da Mozilla.

Nota per gli sviluppatori: ulteriori informazioni sulle linee guida per la firma dei componenti aggiuntivi si possono trovare alle pagine Signing and distributing your add-on e Review Policies su Mozilla Developer Network.

Sebbene in Firefox sia già presente un sistema di blocco dei componenti aggiuntivi pericolosi, sta diventando sempre più difficile identificare e bloccare il numero sempre crescente di componenti malevoli. Il sistema di firma dei componenti aggiuntivi richiede che gli sviluppatori seguano le linee guida di Mozilla. Il sistema di firma dei componenti aggiuntivi di Firefox aiuta a proteggere dai programmi che interferiscono con la navigazione e altri malware rendendo più difficile la loro installazione.

In Firefox viene impedita l'installazione dei componenti non firmati e gli eventuali componenti non firmati già installati vengono disattivati.

Tipi di componenti aggiuntivi per cui è necessaria la firma

La firma è necessaria solamente per le estensioni (componenti aggiuntivi che introducono nuove funzionalità in Firefox) mentre non è necessaria per i temi, i pacchetti per le lingue e i plugin.

Componenti aggiuntivi non firmati

Tutti i componenti aggiuntivi installati dal sito ufficiale dei componenti aggiuntivi per Firefox sono sottoposti a un controllo di sicurezza prima che siano pubblicati. Essi sono sempre verificati e firmati. Quando si installa un componente da un sito diverso, viene controllata la presenza della firma digitale prima che sia possibile installarlo.

Che cosa fare se viene disattivato un componente aggiuntivo installato ma non firmato

Se un componente aggiuntivo viene disattivato, non sarà possibile utilizzarlo e nella scheda di gestione dei componenti aggiuntivi verrà indicato che è stato disattivato in quanto non è verificato per l’utilizzo in Firefox. In questo caso è possibile rimuovere il componente da Firefox e controllare se è disponibile una versione aggiornata sul sito dei componenti aggiuntivi di Mozilla.

Se non è disponibile, contattare lo sviluppatore o il fornitore del componente per verificare se sono in grado di offrire una versione aggiornata e firmata di tale componente aggiuntivo. È anche possibile chiedere di sottoporre il componente a Mozilla affinché venga firmato.

Aggirare la firma delle estensioni (per utenti esperti)

È possibile aggirare il problema modificando il valore della preferenza xpinstall.signatures.required a false mediante l'editor di configurazione di Firefox (la pagina about:config). Si tratta di un'operazione potenzialmente rischiosa e per la quale non viene fornito supporto: si consiglia pertanto di valutarne attentamente le conseguenze. A partire dalla versione 48, non sarà più possibile utilizzare questo metodo per risolvere il problema nelle versioni Release e Beta di Firefox: leggere a tal proposito l'articolo Add-ons/Extension Signing (in inglese) del Wiki di Mozilla.

Per continuare a utilizzare estensioni non firmate (per utenti esperti)

Le versioni Developer e Nightly di Firefox, consentono di aggirare il problema se si modifica il valore della preferenza xpinstall.signatures.required a false mediante l'editor di configurazione di Firefox (la pagina about:config). Anche speciali versioni di Firefox "senza logo" consentono questa modifica. Leggere a tal proposito l'articolo Add-ons/Extension Signing (in inglese) del Wiki di Mozilla.