Ingenieros dentro de Mozilla han esbozado un plan para desactivar las capacidades de leer Java, Adobe Reader y Microsoft Silverlight en Firefox, buscando dar mayor seguridad y desempeño al navegador.
Firefox cargará el contenido de estos plugins sólo cuando los usuarios hagan clic en un icono para autorizarlo de forma explícita. La característica fue introducida el año pasado bajo el nombre de “click to play” de forma optativa, y ahora se volvería obligatoria para cualquier usuario del navegador.
“Los usuarios debieran tener la opción de elegir qué software y plugins correr en su máquina. Click to Play permite a los usuarios elegir fácilmente si quieren correr un plugin en un sitio particular. Los usuarios también podrán configurar sitios para que nunca corran extensiones, o a la inversa, que siempre los corran. Este cambio pone a los usuarios en control”, afirmó en un post el director de seguridad de Mozilla, Michael Coates.
Coates afirma que una de las maneras más comunes de ataque a un computador es a través de vulnerabilidades en los plugins (no confundir con las extensiones o add-ons).
“En este tipo de ataque, un usuario con plugins desactualizados o vulnerables instalados en el navegador puede resultar infectado con malware simplemente al navegar cualquier sitio que contenga un kit de explotación de plugins”, indica Coates. La activación consciente de los plugins evitaría la infección de este tipo, afirma.
El ingeniero explicó que el plan es activar Click to Play para todos los plugins, incluyendo a Java, Silverlight y Reader, excepto la versión más nueva de Flash. En el último tiempo, Java de Oracle ha aparecido como una de las principales fuentes de ataques. Coates no indicó una fecha para el cambio pero indicó que se estarán monitoreando los resultados del mismo.
Links:
– Putting Users in Control of Plugins (Mozilla)
– Firefox to block content based on Java, Reader, and Silverlight (ArsTechnica)