¿Complementos de Firefox que no utilizan HTTPS? Error de seguridad (?)

7

Si agrego una regla en Privoxy:

echo '{ +redirect{s@http://@https://@} }
.mozilla.org' >> /etc/privoxy/user.action

entonces no puedo instalar los complementos de Firefox. ¿Por qué?
¡Pensé que los complementos de Firefox se instalaron solo a través de HTTPS! Si no está usando solo HTTPS, entonces podría verse comprometido de alguna manera, que alguien haga una herramienta que lo automatice: busque las instalaciones de complementos en una subred (por ejemplo, LAN) y reemplácelas con código malicioso. Presto. . Se ha instalado un complemento torjaned, y puede hacer cualquier cosa que el usuario pueda (que esté ejecutando Firefox). ¡Esto es importante! ¿Alguien podría confirmarme?
Gracias.

    
pregunta LanceBaynes 23.05.2011 - 10:45
fuente

2 respuestas

11

Las extensiones de Mozilla, sin importar lo que diga el sitio de descarga, se sirven a través de esta URL:

enlace

Pero, aquí está la cosa: releases.mozilla.org tiene carga equilibrada a través de DNS, se usa como una red de distribución de contenido. Aquí está el resultado de la excavación:

;; ANSWER SECTION:
releases.mozilla.org.   60  IN  CNAME   releases.geo.mozilla.com.
releases.geo.mozilla.com. 60    IN  A   216.165.129.141
releases.geo.mozilla.com. 60    IN  A   64.50.233.100
releases.geo.mozilla.com. 60    IN  A   64.50.236.52
releases.geo.mozilla.com. 60    IN  A   64.50.236.214
releases.geo.mozilla.com. 60    IN  A   128.61.111.9
releases.geo.mozilla.com. 60    IN  A   129.101.198.59
releases.geo.mozilla.com. 60    IN  A   131.188.12.212
releases.geo.mozilla.com. 60    IN  A   155.98.64.83
releases.geo.mozilla.com. 60    IN  A   156.56.247.196
releases.geo.mozilla.com. 60    IN  A   204.152.184.113
releases.geo.mozilla.com. 60    IN  A   204.152.184.196
releases.geo.mozilla.com. 60    IN  A   204.246.0.136
releases.geo.mozilla.com. 60    IN  AAAA    2001:6b0:e:2018::1337

Esas son todas las IP que puede tomar el dominio, puede golpear un servidor diferente cada vez que use la URL. Todos ellos son servidores diferentes, generalmente alojados en varias universidades de todo el mundo.

Y aquí viene el problema:

El resultado de las pruebas que acabo de conocer confirma que ninguno de estos servidores admite la conexión HTTPS.

Entonces, si intenta ciegamente llegar a enlace : //releases.mozilla.org/pub/mozilla.org/addons/NUMBER/EXTENSION_NAME.xpi, la solicitud fallará o tomará demasiado tiempo. porque algunos de los servidores no rechazan de inmediato la conexión, por lo que tiene que agotarse el tiempo de espera.

time wget https://releases.mozilla.org/pub/mozilla.org/addons/138/stumbleupon-3.81-fx+sm.xpi
https://releases.mozilla.org/pub/mozilla.org/addons/138/stumbleupon-3.81-fx+sm.xpi
Resolving releases.mozilla.org... 129.101.198.59, 131.188.12.212, 155.98.64.83, ...
Connecting to releases.mozilla.org|129.101.198.59|:443... failed: Connection timed out.
Connecting to releases.mozilla.org|131.188.12.212|:443... failed: Connection refused.
Connecting to releases.mozilla.org|155.98.64.83|:443... failed: Connection timed out.
Connecting to releases.mozilla.org|156.56.247.196|:443... failed: Connection refused.
Connecting to releases.mozilla.org|204.152.184.113|:443... failed: Connection timed out.
Connecting to releases.mozilla.org|204.152.184.196|:443... failed: Connection refused.
Connecting to releases.mozilla.org|204.246.0.136|:443... failed: Connection refused.
Connecting to releases.mozilla.org|216.165.129.141|:443... failed: Connection refused.
Connecting to releases.mozilla.org|64.50.233.100|:443... failed: Connection refused.
Connecting to releases.mozilla.org|64.50.236.52|:443... failed: Connection refused.
Connecting to releases.mozilla.org|64.50.236.214|:443... failed: Connection refused.
Connecting to releases.mozilla.org|128.61.111.9|:443... failed: No route to host.
Connecting to releases.mozilla.org|2001:6b0:e:2018::1337|:443... failed: Network is unreachable.

real    **9m31.370s**

La solicitud tardó 9:30 minutos en fallar (no tengo conexión IPv6 en este momento, así que no sé si el último servidor lo admite, pero lo dudo).

Para verificación de terceros, esto ayuda: enlace

Solo para dejarlo claro: las extensiones como HTTPS Everywhere no funcionarán; de hecho, lo probé y el complemento aún se sirve a través de HTTP (no reescribe releases.mozilla.org). Si lo hiciera, no lo haría. capaz de obtener la extensión.)

    
respondido por el john 23.05.2011 - 13:23
fuente
1

Sí, los complementos de Mozilla se instalan en solicitudes HTTP de forma predeterminada. Aunque si lo usas, HTTPS Everywhere , se instala en modo SSL.

    
respondido por el MyPreciousss 23.05.2011 - 12:23
fuente

Lea otras preguntas en las etiquetas