为了避免侧加载(Sideloading)扩展组件可能造成的安全问题,Mozilla决定从Firefox 73开始,提供更多的侧加载扩展组件控制选项,让用户也可以在一般扩展组件管理器中,管理侧加载扩展组件,并在明年3月发布的Firefox 74正式停止支持侧加载扩展组件。
侧加载是通过将可执行应用程序安装器复制到特定的位置,为Firefox安装扩展组件的方法,而这个方法会为计算机上所有Firefox实例安装该扩展组件,但侧加载的扩展组件有时候会对用户产生困扰,因为用户无法自行决定安装与否,而且也没办法从扩展组件管理器中删除。
过去曾经有恶意软件利用这个机制,来入侵用户的Firefox,Mozilla提到,他们从Firefox 68加入的滥用回应功能中发现,回应次数第一名的问题就是未经同意地安装扩展组件,而且这些扩展组件无法被移除,已知回应的扩展组件都是经过侧加载方法发布的。
因此Mozilla决定从2019年12月3日发布的Firefox 73开始做出更改,Firefox虽然会继续读取旁加载文件,但是这些文件会被复制到用户的个人数据中,作为一般扩展组件安装,并且从明年3月10日发布的Firefox 74开始,Firefox将不再支持侧加载扩展组件。Firefox73是个过渡版本,已经安装的扩展组件不会消失,但是Mozilla使整个安装过程更加透明,用户可以明确同意或拒绝扩展组件安装,且能够在需要的时候移除。
企业管理员还是可以继续通过政策,向用户部署扩展组件不受影响,会受到影响的是部分形式的自动扩展组件部署,像是部分Linux发布版本和像是网页浏览器自动化Selenium这些应用程序。Mozilla仍持续在研究技术细节,尝试找到对用户影响最小的调整方式。
不过目前确定的是,侧加载发布的扩展组件开发者,需要更新安装流程,并且引导用户从addons.mozilla.org或是其他网络媒体资源下载扩展组件。