To add-on or not to add-on, een internet-soap

Geef uw mening en discussieer over software, internet, pc's en GratisSoftware.nl
Gesloten
keyzer

To add-on or not to add-on, een internet-soap

Bericht door keyzer » 12 mei 2009 11:56

Volgens mij heb ik het wel eerder gezegd; de kracht van Firefox zit 'm in de add-ons en de zwakte van Firefox zit 'm in de add-ons....
Deze uitspraak deed ik in de tijd dat het hele add-on gebeuren een soort wild west situatie was. Iedereen kon add-ons schrijven en aanbieden en er was geen enkele gecentraliseerde methode om de code te screenen op veiligheid, functionaliteit en compatibiliteit. Tegenwoordig is dat wel anders. Mozilla geeft add-ons pas vrij als deze zijn goedgekeurd door de editors op addons.mozilla.org (AMO).

Dat de huidige screeningmethode van AMO niet waterdicht is blijkt wel uit de recentelijke vete die via de code van NoScript en AdBlock Plus in combinatie met de EasyList filter onder onze neuzen-of beter gezegd, onze browsers-werd uitgevochten tussen de makers van deze populaire add-ons. Een van de gevolgen (en voor gebruikers de belangrijkste) van deze code-war was dat gebruikers die beide add-ons naast elkaar gebruiken tijdelijk geen updates van NoScript konden ontvangen omdat AdBlock Plus/EasyList de domeinen van NoScript blokkeerde als retaliatie op een bewuste sabotage van de werking van AdBlock Plus/EasyList door de Giorgio Mahone (De de maker van NoScript).
Kunt u het nog volgen? Een kort verslag van deze onsmakelijke situatie is op security.nl te vinden en ik zal er verder geen woorden aan vuil maken. Waar het mij om gaat is dat mijn vertrouwen in AMO, de makers van AdBlock Plus/EasyList en NoScript en het add-on model van Firefox wel een behoorlijke deuk heeft gekregen.

Het afgelopen jaar ben ik voor eigen gebruik noodgedwongen overgestapt van Opera naar Firefox omdat Opera bijna onbruikbaar was geworden in combinatie met de web-applicaties van Google en de nieuwe Yahoo web-mail (Inmiddels is de situatie verbeterd en als versie 10 uitkomt hoop ik weer over te kunnen stappen naar Opera). Regelmatige bezoekers van het GSS-forum weten dat ik nooit echt overtuigt ben geweest van de vermeende superieure veiligheid van Firefox. Ook ben ik nooit echt gecharmeerd geweest van het add-on model. Twee add-ons waarvan ik vanuit een veiligheids-en privacy-oogpunt wel het nut van inzie en wel eens vaker aanbeveel (hoewel ik er een hekel aan heb om voor elk probleem weer een andere add-on uit de kast te halen) zijn de eerder genoemde NoScript en AdBlock Plus (in combinatie met een goede filterlijst).

NoScript blokkeert uitvoerbare scripts op webpagina's en kan-mits goed gebruikt-de gebruiker voor een hoop ellende besparen (w.o de venijnige clickjacking exploit waar andere browsers nog geen-volledig-antwoord op hebben). AdBlock Plus is een ander verhaal. Ik heb mijn twijfels over ad-blocking in het algemeen; het web zou er totaal anders uitzien als men geen inkomsten zou kunnen genereren uit advertenties op websites, immers door de advertentie-inkomsten kunnen webmasters hun content gratis aanbieden. Helaas zijn sommige van die advertenties niet alleen irritant en erg opdringerig maar worden ze ook gebruikt om de beruchte tracking-cookies te plaatsen op onze computers die informatie verzamelen van ons surfgedrag. Ik adviseer dus-zij het schoorvoetend-het gebruik van AdBlock Plus in combinatie met een goede filterlijst.
Los van het duidelijke nut voor de gebruiker worden deze add-ons regelmatig ge-update wat voor mij een belangrijk criterium is voor het aanbevelen van software.

Door het gedrag van de ontwikkelaars van NoScript/EasyList en AdBlock Plus, en niet te vergeten het feit dat deze web-soap zich onder de neus van AMO afspeelde met alle gevolgen voor de gebruiker, is dat ik me nog meer bewust geworden van de mogelijke gevaren van het installeren van add-ons. Volgens eigen zeggen van Giorgio Mahone wordt de code van een nieuwe add-on uitvoerig getest door AMO, maar nadat de add-on op een lijst van vertrouwde add-ons is geplaatst kan de ontwikkelaar naar believen de code aanpassen en als update uitrollen zonder dat deze gecontroleerd wordt.
Giorgio Mahone wordt verweten dat hij door het gebruik van geobfusceerde code (hoewel Mahone beweerd dat de code niet echt obfuscated was) met als doel de functionaliteit van een andere add-on te belemmeren zich meer als malware-maker ging gedragen. Maar ook Wladimir Palant van AdBlock Plus treft blaam omdat deze in zijn blog als een jaloers kind tekeer begon te gaan tegen NoScript wat uiteindelijk leidde tot de code-war. Ares2 (de huidige ontwikkelaar van de Easylist) kan verweten worden dat hij zich door Palant heeft laten influisteren om de domeinen van NoScript te blokkeren.
Open Source is all about samenwerking maar dat heben deze heren dus niet begrepen.

Inmiddels heeft Mahone zich op zijn blog uitvoerig verontschuldigd (met als gevolg dat de donaties aan zijn website ongekende hoogten bereikten) maar het kwaad is geschiedt. Jammer, Mahone is een briljante ontwikkelaar die zeer snel reageert op de nieuwste web-based bedreigingen. NoScript is nog steeds een zeer nuttige add-on maar men dient wel te beseffen dat met elke add-on een stuk code wordt binnen gehaald waarvan men (onder het huidige screeningmodel van AMO) niet weet hoe deze zich in de toekomst zal ontwikkelen. Het screeningproces van AMO garandeert namelijk niet dat deze functioneel, compatibel en bovenal veilig blijft.

John van Rhijn

Re: To add-on or not to add-on, een internet-soap

Bericht door John van Rhijn » 12 mei 2009 22:00

Off-topic:
Belachelijk dat die vete heeft kunnen ontstaan.
Zal wel omdat er weer eens een keertje geld mee gemoeid is.

De enige reden dat ik van Opera terugging naar Firefox, is om NoScript (en AdBlock Plus mooi meegenomen).
Echter, zo gauw die JavaScript-blokkering net zo makkelijk (ver)werkt (zit) in Opera, ben ik weer terug bij Opera.

En als je toch Firefox gebruikt, lijkt het me gewoon zeer verstandig om het aantal add-ons minimaal te houden.
Net als dat medicijnen heel fout op elkaar in kunnen werken, kan ik me goed voorstellen dat, ondanks de screening door AMO, er op een bepaald moment een kwetsbaarheid gegenereerd wordt, als een paar add-ons tegelijkertijd aanwezig zijn in Firefox.
Dat dus de combinatie van die add-ons dan voor een zwakke plek zorgt.

Gesloten