เหตุใด Firefox จึงบังคับให้ล่าช้า 3 วินาทีก่อนติดตั้งโปรแกรมเสริม

54

ฉันคิดว่ามีประโยชน์ด้านความปลอดภัยต่อการล่าช้าของ Firefox ก่อนติดตั้งโปรแกรมเสริม แต่สำหรับชีวิตของฉันฉันไม่สามารถเข้าใจได้ว่ามันคืออะไร (ใช่ฉันรู้ว่าคุณสามารถปิดใช้งานการหน่วงเวลาได้)

หากคุณตอบคำถามนี้โปรดให้ข้อมูลอ้างอิงจากรายชื่อผู้รับจดหมาย Firefox หรือส่งบันทึก

firefox 
นาธานเยลลิน
แหล่งที่มา
12
คำถามควรจะเป็น "ทำไม Mozilla จึงเป็นคนเดียวที่ทำสิ่งนี้?" IMHO ทุกกล่องโต้ตอบใหม่ควรเปิดใช้งานปุ่ม 1 วินาทีหลังจากแสดงเพราะคุณอาจคลิกโดยไม่ตั้งใจ (หรือบางคนต้องการให้คุณคลิกโดยไม่ได้รับอนุญาตจากคุณ) ฉันเกลียดเมื่อฉันคลิกที่ใดที่หนึ่งและมีปุ่มวางไข่ก่อนที่ฉันจะคลิก มันเกิดขึ้นกับโทรศัพท์เมื่อมีคนโทรหาคุณในเวลาที่คุณต้องการแตะปุ่ม 'เล่น'
Mike
4
"หากคุณตอบคำถามนี้โปรดให้ข้อมูลอ้างอิงจากรายการส่งเมลของ Firefox หรือส่งบันทึก" หากนี่เป็นความต้องการของคุณคุณจะค้นหาด้วยตัวเองไม่ได้เหรอ?
kmm
2
อาจไม่ใช่เรื่องง่ายที่จะหาหรือมีสิ่งอื่นที่ต้องพิจารณา บางทีคนที่นี่อาจมีข้อมูลภายในมากขึ้น - ใครจะไปรู้ล่ะ มันไม่ได้เลวร้ายที่จะถามต่อ se @ Kevin
slhck
ฉันพยายามมองตัวเอง แต่ไม่สามารถหาข้อมูลได้ (ฉันพูดอย่างนั้นในเวลาไม่กี่ชั่วโมงที่ผ่านมาซึ่งหายไป: superuser.com/users/68351/… )
Natan Yellin
@aantn ขออภัยฉันลบมันเพราะมันไม่ได้เพิ่มข้อมูลที่จำเป็นให้กับคำถาม โดยทั่วไปเราคาดหวังว่าคนที่จะค้นหาแรกดังนั้นไม่มีความจำเป็นที่กล่าวขวัญ :)
slhck

คำตอบ:

71

ทำไม?

  • เพราะพวกเขาต้องการให้คุณคิดเกี่ยวกับสิ่งที่คุณทำ
  • เพราะมันช่วยป้องกันการติดตั้งโดยไม่ตั้งใจ
  • เพราะมันป้องกันการติดตั้งทริกเกอร์โดยประสงค์ร้าย

คุณจะทริกเกอร์การติดตั้งที่ประสงค์ร้ายได้อย่างไร?

นี่คือบทความที่น่าสนใจเกี่ยวกับสภาพการแข่งขันในกล่องโต้ตอบความปลอดภัยโดย Jesse Ruderman:

การโจมตีรูปแบบอื่นเกี่ยวข้องกับการโน้มน้าวใจให้ผู้ใช้คลิกสองครั้งที่จุดใดจุดหนึ่งบนหน้าจอ จุดนี้จะเป็นตำแหน่งที่จะปรากฏปุ่ม 'ใช่' การคลิกครั้งแรกจะเป็นการเปิดกล่องโต้ตอบ การคลิกครั้งที่สองจะเข้าสู่ปุ่ม 'ใช่' ฉันสาธิตการโจมตีนี้สำหรับ Firefox และ Mozilla

โซลูชันของ Firefox ตั้งแต่ข้อผิดพลาด 162020คือการหน่วงเวลาการเปิดใช้งานปุ่ม "ใช่" / "ติดตั้ง"จนกระทั่งสามวินาทีหลังจากกล่องโต้ตอบปรากฏขึ้น ฉันเชื่อว่านี่เป็นวิธีแก้ไขเดียวที่เป็นไปได้อื่น ๆ นอกเหนือจากการปฏิเสธเนื้อหาที่ไม่น่าเชื่อถืออย่างสมบูรณ์ถึงความสามารถในการโต้ตอบ น่าเสียดายที่การแก้ไขนี้น่าผิดหวังสำหรับผู้ใช้ที่ติดตั้งส่วนขยายบ่อย ๆ

โดยพื้นฐานแล้วการคาดคะเนทั้งหมดเมื่อผู้ใช้คลิกและขัดขวางการคลิกนั้นภายในกล่องโต้ตอบการติดตั้ง Ruderman อธิบายสถานการณ์ของเกมที่กระชับมากขึ้นเช่นนี้ในรายงานบั๊กของเขาจาก Firefox ซึ่งท้ายที่สุดก็นำไปสู่การรวมระยะเวลาล่าช้า

เพื่อสรุปอีกครั้งประเด็นหลักของเขาคือ:

หากฉันสามารถควบคุมหรือทำนายเวลาและสถานที่ที่ผู้ใช้จะคลิกฉันสามารถนำพวกเขาไปติดตั้งซอฟต์แวร์ได้

ทางเลือกอื่น ๆ ในช่วงเวลาที่ล่าช้า?

ระยะเวลาที่ล่าช้าเป็นวิธีเดียวที่จะจัดการกับเรื่องนี้ อีกอันหนึ่งอาจมีการสับปุ่มสำหรับ "ติดตั้ง", "ยกเลิก" ทุกครั้งที่คุณติดตั้งบางอย่าง นี่คือสิ่งที่ใช้บ่อย แต่สร้างความสับสนให้ผู้ใช้มากกว่าที่จะช่วย

แนวคิดอื่นจะย้ายตำแหน่งหน้าต่างแบบสุ่มสำหรับทุกกล่องโต้ตอบ สิ่งนี้มีผลเช่นเดียวกับการสับปุ่มซึ่งจะทำให้ผู้ใช้สับสน

นอกจากนี้การแนะนำแบบแผนไม่ได้เป็นทางออกที่ดีที่สุด หากมีแป้นพิมพ์ลัดสำหรับปุ่มคุณสามารถดักจับการกดปุ่มเช่นกัน อย่างที่พูดไปทั้งหมดดูเหมือนว่าจะเป็นคุณลักษณะดั้งเดิมในปัจจุบันเนื่องจากปลั๊กอินส่วนใหญ่ติดตั้งจากเว็บไซต์เสริม Firefox อย่างเป็นทางการอยู่แล้ว

slhck
แหล่งที่มา
1
ไม่อนุญาตการติดตั้งสำหรับ addons.firefox.org แก้ไขหรือไม่
Natan Yellin
เป็นไปได้มาก. มันจะช่วยให้มีตัวเลือกในการยอมรับอย่างถาวร (เช่นคุณสามารถมีใบรับรอง) - โดยทั่วไปดูเหมือนว่าจะเป็น "คุณสมบัติ" แบบดั้งเดิม แต่ฉันไม่ใช่ผู้ใช้ Firefox ดังนั้นฉันจึงไม่สามารถแสดงความคิดเห็นได้
slhck
... เยี่ยมมาก! :)
sebastian_k
ต่อไซต์สิทธิ์การติดตั้งไม่ได้ช่วยด้วยตัวเองเพราะเว็บไซต์ที่เป็นอันตรายสามารถนัดหมายเพื่อหลอกให้คุณคลิกที่ปุ่มบนเว็บไซต์ที่ได้รับการได้รับสิทธิ์ (ใช่แม้จะมีการป้องกันการคลิกผ่านแบบก้าวร้าว - นี่ไม่ใช่ปัญหาที่แก้ไขได้)
zwol
@ แซคคุณช่วยยกตัวอย่างสำหรับ addons.firefox.org ได้ไหม
Natan Yellin
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.