Mozilla 本周宣布,所有 Firefox 擴展開發人員都必須為其帳戶啟用雙因素身份驗證(2FA)。
「從 2020 年初開始,擴展開發人員將需要在 AMO(addons.mozilla.org)上啟用 2FA,」 Mozilla 擴展社區經理 Caitlin Neiman 在官方博客這樣寫道。「這是為了防止惡意攻擊者控制合法的擴展及其用戶。」
發生這種情況時,黑客可以使用開發人員的帳戶向 Firefox 用戶發送受感染的擴展更新。攻擊者還可以使用受感染的擴展來竊取密碼、身份驗證/會話cookie,監視用戶的瀏覽習慣,或將用戶重定向到網路釣魚頁面或惡意軟體下載站點等等。這些類型的事件通常稱為供應鏈攻擊。發生這種情況時,最終用戶無法檢測到擴展更新是否是惡意的,尤其是當受感染的更新來自官方 Mozilla AMO——所有 Firefox 用戶都認為是安全的來源時。
而雙因素身份驗證(2FA)通過在登錄過程中增加其他步驟來證明用戶的真實身份,能夠為帳戶增加一層安全保護。Mozilla 決定強制擴展開發人員啟用 2FA,以此防止可能會發生的供應鏈攻擊。
儘管近年來沒有針對 Firefox 擴展的 AMO 帳戶被劫持的案例,但有許多 Chrome 擴展程序被劫持的案例。Chrome 擴展程序的開發人員經常受到網路釣魚電子郵件的攻擊,黑客試圖通過這些電子郵件來嘗試訪問其 Chrome 網路應用商店的帳戶。
通常,這類攻擊主要針對 Chrome 擴展程序開發人員,因為 Chrome 瀏覽器的市場佔有率為 65%-70%。僅占 10% 的 Firefox 對攻擊者的吸引力相對較小。但是,Mozilla 足夠警惕,採取了先發制人的行為。
Mozilla 告知,用戶可以按照 support.mozilla.org 中的說明,在新規則生效之前為自己的帳戶啟用雙因素身份驗證(2FA)。
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/112064/mozilla-to-force-all-add-on-devs-to-use-2fa
Mozilla 將要求所有擴展開發者啟用雙因素認證已經有217次圍觀
