![Page 1: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/1.jpg)
Seguridad en Add-ons para Firefox
Jorge Villalobos
Mozilla
![Page 2: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/2.jpg)
Add-ons
● Conocidos también como “complementos”.
● Agregan funcionalidad a Firefox.
![Page 3: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/3.jpg)
Variedad de add-ons
● WindowShopper.
● Agrega contenido de otros dominios en sitios de
compras.
● Adblock Plus, NoScript.
● Filtrado de contenido, prevención de XSS.
● GreaseMonkey.
● Plataforma de scripts locales.
![Page 4: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/4.jpg)
APIs
● Mayoría de add-ons usan los mismos APIs que
el código de Firefox.
● Acceso a sistema de archivos y datos locales.
● Acceso a APIs remotos.
● Ejecución de procesos externos.
● Add-ons SDK permite creación de add-ons más
sencillos con APIs limitados y seguros.
![Page 5: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/5.jpg)
Problemas de seguridad comunes
● Evaluación de código (eval, innerHTML).
● Ejecución de código remoto.
● Inserción de recursos inseguros en páginas
seguras.
● Transmisión insegura de datos.
![Page 6: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/6.jpg)
Y la seguridad?
Creative Commons
![Page 7: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/7.jpg)
addons.mozilla.org
● Sitio principal de distribución.
● Todos los add-ons son revisados:
● Chequeo automático de patrones inseguros.
● Revisión manual de código.
● Pruebas de ejecución.
![Page 8: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/8.jpg)
Seguridad interna
● __exposedProps__
● evalInSandbox
● enablePrivilege
● window.java
Creative Commons
![Page 9: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/9.jpg)
Bloqueos
Creative Commons
![Page 10: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/10.jpg)
Bloqueos
● Deshabilita add-on remotamente.
● Add-ons maliciosos son bloqueados
inmediatamente.
● Distintos niveles.
● Hard. Ej: add-ons maliciosos de Facebook.
● Soft. Ej: plugin de Java.
● Click-to-play. Nuevo en Firefox 17.
![Page 11: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/11.jpg)
Incidencia
● La mayoría de add-ons maliciosos manipulan
Facebook para postear spam o hacer Like a
página falsas.
● El resto de los bloqueos son problemas de
seguridad accidentales.
● Comunicación rápida y documentación ayudan
a reducir incidencia.
![Page 12: Seguridad en Add-ons para Firefox - owasp.org€¦ · Variedad de add-ons WindowShopper. Agrega contenido de otros dominios en sitios de compras. Adblock Plus, NoScript. Filtrado](https://reader031.vdocuments.site/reader031/viewer/2022022514/5af478377f8b9a154c8e69c8/html5/thumbnails/12.jpg)
Más información
● Add-ons blog
● https://blog.mozilla.org/addons/
● Developer Hub
● https://addons.mozilla.org/developers/
● Mozilla Developer Network
● https://developer.mozilla.org/en-US/docs/Addons
● Mozilla Costa Rica
● http://mozilla-costarica.org
● https://www.facebook.com/MozillaCostaRica