на всякий случай, привожу интересные ссылки, предоставленные Unghost'ом, на описание правильной установки сторонних расширений в firefox:
для windows - http://developer.mozilla.org/en/docs/Adding_Extensions_using_the_Windows_Registry
mac & linux (начиная с fx 3.0) - http://developer.mozilla.org/en/docs/Installing_extensions

Что мешает внешней программе записать нужные данные в этот некий файл? Или вообще пропатчить Firefox, чтобы он не делал некоторых проверок при загрузке? Не внедрять же в Firefox собственные антивирус и файрволл. А сообщение о только что установленных расширениях в Fx 3 и так выводится.

Shutnik
Да, если "смотреть на проблему чуть глубже", это является дырой. И для windows значительно более опасной, нежели для linux. (но все же дырой в какой то мере присущей обеим системам)

Залезание кого попало в папки с установленными программами - проблема конкретно win. И если в фокса встраивать дополнительные средства защиты от модификации самого себя, имхо это не лучшим образом скажется на времени запуска/скорости работы.

Вопрос по теме: а нужны ли фоксу права на запись в папку, в которую он установлен? Может, как вариант, лишить пользователя права записи в папку %Program_Files%/Firefox? (что там в вин со сторонними вариантами разграничения доступа к файлам? есть ли они вообще?)

С профилем же сложнее. Но имхо, средства мониторинга целостности профиля создавать неэффективно: придумать-осуществить такое гораздо более трудоемкая задача, чем найти лазейку как это обойти. Так что с профайлом гораздо полезнее регулярный бэкап, ну и проверка антивирем. (ах, да! и наличие у пользователя мозга)
___________________________

Для установки чего бы то ни было в каталог профиля достаточно прав обычного пользователя. Другое дело, что установка многого софта требует прав рута -> При установке стороннего софта с лисой (и не только с ней) может случиться все, что угодно. Опять же все зависит только от пользователя (просто среди пользователей linux доля "разумных" в вопросе установки стороннего софта несколько выше)

Отредактировано SIO (10-04-2008 13:19:12)

Есть. Например, subinacl.exe - утилита от Microsoft.

Тоже об этом думал.

Файл шифруется ключом. Ключ вводит или предоставляет на сменном носителе пользователь при запуске Фокса. Больше ключ нигде не хранится. Как в банковских системах.

Удобно получилось. Надо ещё подумать.

Tarn

Даешь больше геморроя!

Shutnik
Ну естественно, предпологался некий сессионный ключ...
Например, шифровать этот файл на базе...ну положим, Мастер Пароля или каких=то сессионных данных, например, списка посещенных за сессию сайтом, заголовка последнего посещенного сайта или еще как-то.
Или - еще проще и логичнее - выдавать запрос подтверждения установки при ЛЮБОЙ установке.

И вообще, этой схеме есть другое уязвимое место - чтобы обнаружить факт установки, фф должен где-то хранить список установленных расширений, и защищать нужно так же его, а не только сессионный список устанавливаемых расширений.

RED

Что тут можно сказать. Ты поставил ПО и оно может делать на твоей машине что угодно.
При разработке Firefox учитывались угрозы исходящие из Интернета, и предполагалось по умолчанию что угроза со стороны локальной машины минимальна. Да и не дело браузера отбиваться от уже проникших в систему троянов и вирусов, для этого есть другие программы.

Добавлено Fri Apr 11 01:13:59 2008 :
SIO

Нет.