Extensiones de Firefox vs. Chrome: ¿Cuáles son --- ceteris paribus --- más seguras?

Su suposición es incorrecta, los complementos de Firefox no son intrínsecamente más seguros que las extensiones de Chrome (aunque en términos de seguridad, agrego más valor a complemento oficial de Firefox galería (AMO) que la Chrome Web Store porque todos los complementos en AMO se revisan manualmente).

Los complementos en Firefox son de confianza por diseño; pueden hacer cualquier cosa que esté permitido por el proceso de Firefox. El peor de los casos para instalar un complemento malintencionado de Firefox es una reinstalación de su sistema operativo para limpiar el desorden.

Las API de extensión de Chrome están muy restringidas, porque el navegador Chrome no confía completamente en las extensiones (a diferencia de Firefox). Las extensiones de Chromium normalmente no pueden acceder a ningún recurso fuera del recinto de seguridad de Chrome sin la aprobación del usuario. El peor escenario en Chrome es menos grave que el de Firefox (y también es aplicable a Firefox): todas sus actividades de navegación web pueden considerarse comprometidas.

Como la mayoría de nosotros pasamos cada vez más tiempo en el navegador web que en las aplicaciones nativas (por ejemplo, banca por Internet, correo electrónico), es un acto estúpido instalar extensiones en las que no se puede confiar. Teniendo en cuenta esta vista, entonces las extensiones de Chrome podrían ser más seguras, ya que debe aceptar todos los permisos solicitados recientemente durante la instalación / actualización. Firefox no ha implementado ninguna advertencia de permiso adicional, por lo que al instalar un complemento de Firefox, siempre debe agregar mentalmente "Este complemento podría acceder a todos los datos de su computadora y los sitios web que visita" en el cuadro de diálogo de instalación.

Por otro lado, debido a que los complementos de Firefox son más potentes, también pueden integrar características de seguridad de una manera mucho mejor que las extensiones de Chrome. Por ejemplo, hasta la fecha no es posible crear un NoScript en Chrome debido a la API de extensión limitada.

Si desea saber más sobre el diseño de seguridad de extensión de Chrome, sugiero leer:

• Barth, Adam, et al. "Protección de navegadores de vulnerabilidades de extensión". NDSS . 2010., disponible en enlace
  Los fundamentos de seguridad / diseño de la plataforma de extensión Chrome.

• Carlini, Nicholas, Adrienne Porter Felt y David Wagner. "Una evaluación de la arquitectura de seguridad de extensión de Google Chrome". USENIX Security Symposium . 2012., disponible en enlace
  Una evaluación de la efectividad de la arquitectura de seguridad de la extensión Chrome.

• Lista de verificación de seguridad de API CRX
  Lista de verificación de seguridad para desarrolladores de las API de extensión de Chrome.

  

¿Parecen ser más seguros, o son realmente?

Aunque esto siempre está cambiando con la unidad continua de Firefox para mejorar su seguridad, muchos de los complementos parecen más seguros de lo que son. Principalmente debido a los problemas que no han se han descubierto todavía. Tenga en cuenta los populares problemas de NoScript descritos en el siguiente artículo de seguridad here . Y otros problemas con los complementos de Firefox discutidos aquí . Esto no es un ataque a Firefox. La próxima semana, Chrome podría estar recibiendo la misma atención negativa de los medios.

Ambos equipos desarrollan su API (y sus limitaciones) teniendo en cuenta la seguridad del usuario final. Dado que las nuevas vulnerabilidades se descubren con frecuencia en la investigación de seguridad cibernética, en un momento dado, un equipo de desarrolladores puede estar por delante del otro.

Utilizo Chrome y Firefox y me cuesta quedarme solo con uno porque, tan pronto como lo hago, encuentro una vulnerabilidad en una que está solucionada en la otra.