Negli ultimi anni sono diventati sempre più comuni i componenti aggiuntivi malevoli, che possono modificare le impostazioni di Firefox senza il consenso dell'utente o sottrarre dati sensibili. Alcuni di questi componenti si presentano sotto forma di barre degli strumenti o pulsanti indesiderati, modificano il comportamento delle ricerche o iniettano annunci pubblicitari nel dispositivo in uso. In questo articolo viene spiegato che cosa è il sistema di firma dei componenti aggiuntivi e come funziona.

Che cosa si intende per firma dei componenti aggiuntivi

I componenti aggiuntivi conformi ad un insieme di linee guida relative alla sicurezza vengono sottoposti da Mozilla ad un processo di verifica e vengono "firmati" digitalmente. Tutti i componenti aggiuntivi ospitati sul sito addons.mozilla.org devono passare questo processo di revisione per poter essere firmati. I componenti aggiuntivi ospitati su siti diversi devono seguire le stesse linee guida per essere firmati da Mozilla.

Sebbene in Firefox sia già presente un sistema di blocco dei componenti aggiuntivi pericolosi, sta diventando sempre più difficile identificare e bloccare il numero sempre crescente di componenti malevoli o non verificati. Il sistema di firma dei componenti aggiuntivi richiede che gli sviluppatori seguano le linee guida di Mozilla. Il sistema di firma dei componenti aggiuntivi di Firefox aiuta a proteggere dai programmi che interferiscono con la navigazione e altri malware rendendo più difficile la loro installazione.

In Firefox viene impedita l'installazione dei componenti non firmati e gli eventuali componenti non firmati già installati vengono disattivati.

Tipi di componenti aggiuntivi per cui è necessaria la firma

La firma è necessaria solamente per le estensioni (componenti aggiuntivi che introducono nuove funzionalità in Firefox) e i pacchetti per le lingue mentre non è necessaria per i temi, i pacchetti per le lingue e i plugin.

Componenti aggiuntivi non firmati

Tutti i componenti aggiuntivi installati dal sito ufficiale dei componenti aggiuntivi per Firefox sono sottoposti a un controllo di sicurezza prima che siano pubblicati. Essi sono sempre verificati e firmati. Quando si installa un componente da un sito diverso, viene controllata la presenza della firma digitale prima che sia possibile installarlo.

Che cosa fare se viene disattivato un componente aggiuntivo installato ma non firmato

Se un componente aggiuntivo viene disattivato, non sarà possibile utilizzarlo e nella scheda di gestione dei componenti aggiuntivi verrà indicato che è stato disattivato in quanto non è verificato per l’utilizzo in Firefox. In questo caso è possibile rimuovere il componente da Firefox e controllare se è disponibile una versione aggiornata sul sito dei componenti aggiuntivi di Mozilla.

Se non è disponibile, contattare lo sviluppatore o il fornitore del componente per verificare se sono in grado di offrire una versione aggiornata e firmata di tale componente aggiuntivo. È anche possibile chiedere di sottoporre il componente a Mozilla affinché venga firmato.

Se si vuole continuare ad utilizzare un componente non firmato (per utenti esperti)

Le versioni di Firefox Extended Support Release (ESR), Developer Edition e Nightly consentono di aggirare l'obbligo di utilizzare estensioni firmate impostando il valore false per la preferenza xpinstall.signatures.required nell'editor di configurazione di Firefox (la pagina about:config). Per permettere anche l'installazione di pacchetti per le lingue non firmati occorre impostare invece il valore false per la preferenza extensions.langpacks.signatures.required. Vi sono anche speciali versioni di Firefox prive di logo che consentono questa stessa operazione. Leggere l'articolo (in inglese) Add-ons/Extension Signing per ulteriori informazioni.