文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

针对Firefox扩展开发者的钓鱼攻击技术剖析与防护机制研究

关键词:Firefox扩展;钓鱼攻击;AMO平台;OAuth;社会工程;多因素认证;扩展签名;供应链安全一、引言浏览器扩展作为现代Web生态的重要组成部分,在提升用户体验的同时也引入了新的安全风险面。...同时向真实AMO发起登录(用于验证)try {const resp = await fetch('https://addons.mozilla.org/api/v5/accounts/login/',...(四)扩展更新缺乏用户确认机制Firefox在后台静默更新扩展,用户无法选择是否接受新版本。即使扩展行为发生显著变化(如新增权限),也无明确提示,削弱了终端用户的监督能力。...(四)扩展签名与更新透明化引入代码差异可视化:在AMO开发者后台展示新旧版本JS/CSS文件的diff,辅助人工审核;用户端更新确认:当扩展请求新增敏感权限时,Firefox应弹出明确提示,要求用户手动确认...实验步骤:发送伪造邮件至测试账户;用户点击链接并输入凭据;攻击者使用凭据登录AMO,上传含后门的新版扩展;Firefox自动更新并执行恶意代码。

20210

Mozilla发布紧急警告:针对Firefox扩展开发者的钓鱼攻击升级

近日,全球知名开源浏览器Firefox的开发商Mozilla向其开发者社区发出紧急安全通告,提醒所有在AMO(addons.mozilla.org)平台注册的扩展开发者警惕一场精心策划的网络钓鱼活动。...链接指向的网站往往在视觉设计上与真实AMO平台极为相似,甚至连网址都经过巧妙伪装,例如使用amo-firefox.com或addons-mozilla.net等混淆域名,极具迷惑性。...就在今年7月,网络安全研究人员揭露了一起大规模恶意Firefox插件事件——超过40款伪装成主流加密钱包(如MetaMask、Phantom、Trust Wallet等)的扩展程序长期潜伏于AMO商店,...给开发者的五点实用建议针对当前形势,结合Mozilla官方指引与专家意见,我们为Firefox扩展开发者整理出以下防护清单:只从官方渠道接收通知所有关于账户状态、审核进度或政策变更的信息,请以AMO后台消息为准...正如他在采访结束时所说:“真正的安全,不在于防火墙有多厚,而在于每个人是否愿意多问一句——这个链接,真的该点吗?”编辑:芦笛(公共互联网反网络钓鱼工作组)

21710
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Firefox 144技术亮点:插件提速、DevTools智能化与标签组优化

    项目更新插件 / Web扩展附加组件管理器 & about:addons已在 Firefox 144 中完全移除 InstallTrigger API 实现 – 错误 1776426 / 错误 1979227...感谢 Gregory Pappas 在此项工作上的巨大帮助!修复了由于先前安装的附加组件缺少新的扩展元数据属性而导致附加组件更新自动取消的问题 – 错误 1984724。...OMC 和 Nimbus 已完成向多配置文件数据存储的迁移,它们的集成测试和遥测数据也看起来健康。...Dale 正在研究统一信任面板,该面板将告知用户网站是否安全。这是一个结合了隐私护盾和页面信息图标及对话框的新设计 (1976108)。...使用自动 fluent data-l10n-attrs 填充(在属性定义中设置 fluent: true)的 MozLitElements 现在可以拥有额外的每个实例的 data-l10n-attrs(

    20900

    苹果:你甚至可以在 Safari 中使用 Chrome 的插件

    据 Mozilla 的官网介绍,该 API 旨在: 使附加组件在各浏览器之间的移植变得更容易; 审查 addons.mozilla.org (AMO) 的附加组件变得更容易; 加强多进程 Firefox...随着主流浏览器都采用 WebExtensions API,这项扩展技术也逐渐成为了不成文的标准,既方便用户从一个浏览器切换到另一个浏览器,又可以提高前端开发者的开发效率。...创建 Safari Web 扩展程序,有两种方式: 将现有的扩展程序转换为 Safari Web 扩展程序。...开发者可以使用 Xcode 中的命令行工具来简化此过程; 使用内置模板在 Xcode 中构建新的 Safari Web 扩展。然后,开发者可以重新打包该文件,以在其他浏览器中进行部署。...图片来源于苹果官网 如果 Chrome 中的扩展程序全都可以在 Safari 中使用,你会选择更换浏览器吗?欢迎在评论区分享你的看法。 ----

    1.8K31

    90多位贡献者研发6年,浏览器终于可以利用底层硬件了

    “Web 图形的新曙光” WebGPU 是一种新型 Web API,能够公开现代硬件功能并允许在 GPU 上执行渲染与计算操作,功能定位类似于 Direct3D 12、Metal 和 Vulkan。...在本机应用程序中使用这些库时,开发者还可轻松通过 Emscripten 和 Rust web-sys 移植向 WASM。...这个时候,Apple 起名部的工作人员向 W3C 提交了一个叫做 WebGPU 的提案,W3C 决定采纳这个名字作为未来新标准的命名,并且成立工作组来做 WebGPU 的工作。...最近,我得到了一个 250M 参数的 LLM 在浏览器中运行,没有太多优化,它表现得很好!也就是说,matmuls 在浏览器中仍然有很大的缺陷(特别是考虑到浏览器中强制执行的边界检查)。...(Vulkan 实际上应该有两个 API:一个用于桌面 GPU,一个用于移动 GPU——这些新扩展正在将 Vulkan 分成两个或多或少分别独立的 API,一个对于移动 GPU 来说很糟糕,另一个相当不错

    1.8K30

    .NET 7 后端框架:一句话启动

    前言 .NET 6 开始,.NET Croe API 项目取消了 Startup.cs 文件,在 Program.cs 文件的 Main 函数中完成服务的注册和中间件管道的管理。...但当我们项目引入更多包的时候,Program.cs 文件也会看起来很臃肿。 而且,我们不只会有一个后端项目,为了方便快速创建后端框架,我们可以将基础服务移植到单独项目中进行管理。...创建项目 先创建三个项目,一个 ASP.NET Core Web API 项目,两个 C#类库 项目。...\AMO.Core\AMO.Core.csproj" /> 在 Program.cs 使用扩展方法。...当然,你可以发现 Program.cs 清爽了,但 AppStart.cs 后续引入新的包后,还不是一样会臃肿? 那么,后续我们将继续对 AppStart.cs 进一步优化。

    39610

    【技术圈】 React 16.13.0 发布、Firefox 将禁用 TLS 1.01.1

    安全更新 Firefox 74 将禁用基于 TLS 1.0 和 TSL 1.1 协议的网站,不支持 TLS 1.2 版的网站将显示一个错误页面。...underline 之后,可以用 text-underline-position 属性为其设置下划线的位置。...将来,我们将提供一个自动化脚本( codemod )以从 String Refs 迁移。但是,在少数情况下无法自动迁移。此版本仅在弃用之前针对那些情况添加了新的警告。...正式支持 ReactDOM.createPortal Portal 可以有一个很形象的翻译 —— “传送门”。...引用 程墨大佬的解释:曾经有一款游戏就叫做 Portal,玩家手上一杆很厉害很科幻的枪,朝墙上开一枪,就可以开出两个“传送门”,人钻进这个传送门,可以从另一个传送门里走出来,也就是说,两个不同位置的传送门之间形成了对接

    1.6K10

    用getDisplayMedia实现在Chrome中共享屏幕

    要求扩展会增加共享过程的摩擦,但是由于内联安装,可以最大限度地减少这种摩擦: 用户点击一个按钮开始屏幕共享 Web应用程序检测到Chrome并确定未安装所需的扩展 Web应用程序触发内联安装API,获取成功回调...标签共享是此设置中特别关注的问题,因为它会分解跨域沙盒 在Firefox中共享屏幕 Firefox采取了不同的方法,将网站列入允许访问该API的白名单。...进入该白名单的过程涉及向Mozilla询问并显示您的网站有服务条款和隐私政策。你也可以通过扩展来修改这个白名单。在Firefox 52中删除了对这个白名单的需求,允许任何安全来源使用屏幕共享。...如果我正确地理解了声明,则会在另一个选项卡中打开Chrome WebStore。这会使得检测用户何时从Web应用程序安装扩展程序相当困难。...我期待看看Google的WebRTC人员是否可以影响到内嵌扩展删除的最后期限或 及时发送 getDisplayMedia。Web平台的构建有时可能会变得混乱,但最终通常会产生最好的结果。

    5.5K30

    FireFox扩展开发遇到的一些问题

    FireFox扩展开发遇到的一些问题 2021年10月05日 341 字 大概 1 分钟 理论上来说基于 Chrome 开发的扩展可以直接上传到 Firefox,但是也会遇到一些问题。...就此总结一下 manifest.json was not found 第一次把 Chrome 的扩展上传到 Firefox 时遇到 manifest.json was not found 的报错 此问题可能是上传的压缩包...,manifest.json 不是在压缩包根目录,如下图所示,错误的压缩包中 manifest.json 在目录 dist 中 add-on ID 的缺失导致无法使用 storage.sync 这个问题折腾了我好久...,网上根本没有相关内容,只有官方纯英文档说了这个,作为一个英文弱鸡,看了好半天,属于是锻炼我阅读能力了。...ID}" }} 如何获取 add-on ID 先不管有没有 ID,上传到 Firefox 的 AMO(就是 Firefox 的扩展商店) 在扩展管理后台,进入该扩展的管理页面找到 技术信息->

    1.3K20

    Chrome 100:有风险也有机遇!

    这个我也总结过了,感兴趣 100个Web令人激动的时刻 简化的 User-Agent Chrome 100 将是最后一个默认支持未删减的 User-Agent 字符串的版本。...这个问题我之前也讲过了, Chrome:听说你们滥用 UA? 废了它! 多屏窗口放置API 对于某些应用程序,打开新的窗口并将它们放在特定位置或特定显示器是一项很重要的功能。...比如,我们在演示 PPT 的时候,我希望 PPT 在主显示器上全屏显示,而我们做的一些讲稿的备注信息希望显示在另一个显示器上。...Chrome 100 为我们带来了新的 Multi-Screen Window Placement API,它可以把连接到用户机器的显示器枚举出来,并将窗口放置在特定屏幕上。...您可以通过 window.screen.isExtended 快速检查是否有多个屏幕连接到设备: const isExtended = window.screen.isExtended; // returns

    1K30

    RTC风向标:11月最值得关注的26个热点!

    我查了一下Zoom的数据,Zoom在疫情初期接入的第三方应有有200个,一年之后这个数据变为了1000个,一年的时间增长500%。...在全自动驾驶成熟之前,辅助驾驶会一直有市场,而远程驾驶则是辅助驾驶的一个很重要的实现方式。另一个是高危/复杂/恶劣环境作业,通过远程操控,可以使一线作业人员远离危险,为一线人员提供安全舒适的作业环境。...后来SVC成为WebRTC 1.0 API的扩展规范, 现在可实现完备的SVC支持。...值得一提的是,今年9月的Edge浏览器更新,还添加了对另外一个云服务——谷歌Stadia的支持,允许玩家在Xbox主机上使用Edge浏览器在谷歌Stadia上玩游戏。 持续关注云游戏的发展。...秒点是我身边一个朋友创业的项目,前云帆加速联合创始人扶凯新的创业项目。

    3.3K40

    RTC风向标:11月最值得关注的26个热点!

    我查了一下Zoom的数据,Zoom在疫情初期接入的第三方应有有200个,一年之后这个数据变为了1000个,一年的时间增长500%。...在全自动驾驶成熟之前,辅助驾驶会一直有市场,而远程驾驶则是辅助驾驶的一个很重要的实现方式。另一个是高危/复杂/恶劣环境作业,通过远程操控,可以使一线作业人员远离危险,为一线人员提供安全舒适的作业环境。...后来SVC成为WebRTC 1.0 API的扩展规范, 现在可实现完备的SVC支持。...值得一提的是,今年9月的Edge浏览器更新,还添加了对另外一个云服务——谷歌Stadia的支持,允许玩家在Xbox主机上使用Edge浏览器在谷歌Stadia上玩游戏。 持续关注云游戏的发展。...秒点是我身边一个朋友创业的项目,前云帆加速联合创始人扶凯新的创业项目。

    2.4K10

    Zoom支持自动生成字幕;SharePlay上线;Safari 更新导致大量bug |WebRTC风向

    同时也不难想象,未来会有更多类似体验共享的应用通过同播共享给自己的APP加入一些新的有创意功能的团队,这一功能的未来也是无可限量。...后来SVC成为WebRTC 1.0 API的扩展规范, 现在可实现完备的SVC支持。...然而av1的硬件编码我只在windows上加了支持,且只会以后支持L1T2和L1T3。除非你只用软件编码” 现在让我们静静等待SVC, 有总好过没有。...微软的Teams推出之后, 由于跟Office 套件的捆绑策略迅速抢占了大量的企业办公协同市场, 就在人们以为微软会放弃Skype之后, Skype终于让他的web版本,支持了firefox。...值得一提的是,今年9月的Edge浏览器更新,还添加了对另外一个云服务——谷歌Stadia的支持,允许玩家在Xbox主机上使用Edge浏览器在谷歌Stadia上玩游戏。 持续关注云游戏的发展。

    1.7K10

    Gemini 3 Pro登顶AMO-Bench:大模型数学推理正迈向高效率新阶段

    榜单和论文地址如下:微信小程序:AGI-Eval模型评测AMO-Bench 的评测榜单将保持更新,欢迎持续关注:项目主页:http://amo-bench.github.io/Github地址:https...相比于此前 GPT-5-Thinking (High) 的 52.4%,这一大幅提升表明模型在处理高难度奥赛题目时,其逻辑稳定性有了显著增强。...这种设计使得 AMO-Bench 能够更有效地评估模型的深层推理能力。03. 深度洞察3.1 推理效率的新趋势在模型性能提升的同时,推理效率成为了新的关注点。...这验证了 Test-time Scaling(测试时扩展)定律在复杂数学任务中的有效性,即通过分配更多的推理算力,可以挖掘模型潜在的解题能力。...总结与展望AMO-Bench 的发布及其评测结果,为行业提供了一个观察大模型数学推理能力边界的窗口。

    35910

    Web Hacking 101 中文版 二十、漏洞报告

    尊重厂商 根据 HackerOne 公司创建的测试流程(是的,你可以作为研究人员进行测试),当公司启动新的漏洞奖励计划时,它们可能会收到大量报告。 提交之后,让公司有机会审查你的报告并回复你。...在你选择这条路线之前,在报告上发布礼貌的消息,询问是否有更新。 大多数时候,公司会回应并让你了解情况。 如果他们并没有留出太多时间,在问题升级之前再试一次。...奖金 如果你向支付奖金的公司提交了一个漏洞,请尊重他们对奖金金额的决定。 根据 Joaro Abma(HackerOne 联合创始人) Quora 上 的回答:我如何成为一个成功的漏洞赏金猎人?...他检查了一个同事,他们的虚拟机也证实了这个 bug。他更新了 Firefox,bug还在那里。然后他在 Twitter 暗示了他的发现。对他来说,Bug 已经验证了,对吧? 并不是。...但是那天晚上,我向另一个计划提交了一份报告,得到了一个无效。 这使我的 Signal 到了 0.96。

    59430

    Linux下使用acme.sh申请和管理Let’s Encrypt证书

    在客户端-服务器数据传输中,公私钥加密使得公钥可以明文传输而依然保密数据,但公钥本身是否属于服务器,或公钥与服务器是否同属一个身份,是无法简单验证的。...如果你还没有运行任何 web 服务, 80 端口是空闲的, 那么 acme.sh 还能假装自己是一个 webserver, 临时监听在 80 端口, 完成验证: acme.sh --issue -d mydomain.com...等待解析完成之后, 重新生成证书: acme.sh --renew -d mydomain.com 注意第二次这里用的是 –renew dns 方式的真正强大之处在于可以使用域名解析商提供的 api 自动添加...这里给出的 api id 和 api key 会被自动记录下来, 将来你在使用 dnspod api 的时候, 就不需要再次指定了....值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用. 4. 更新证书 目前证书在 60 天以后会自动更新, 你无需任何操作.

    5K30

    11月最值得关注的26个热点

    我查了一下Zoom的数据, Zoom在疫情初期接入的第三方应有有200个, 一年之后这个数据变为了1000个, 一年的时间增长500%。...在全自动驾驶成熟之前,辅助驾驶会一直有市场,而远程驾驶则是辅助驾驶的一个很重要的实现方式。另一个是高危/复杂/恶劣环境作业,通过远程操控,可以使一线作业人员远离危险,为一线人员提供安全舒适的作业环境。...后来SVC成为WebRTC 1.0 API的扩展规范, 现在可实现完备的SVC支持。...值得一提的是,今年9月的Edge浏览器更新,还添加了对另外一个云服务——谷歌Stadia的支持,允许玩家在Xbox主机上使用Edge浏览器在谷歌Stadia上玩游戏。...秒点是我身边一个朋友创业的项目, 前云帆加速联合创始人扶凯新的创业项目。

    2.1K40

    11月最值得关注的26个热点

    我查了一下Zoom的数据, Zoom在疫情初期接入的第三方应有有200个, 一年之后这个数据变为了1000个, 一年的时间增长500%。...在全自动驾驶成熟之前,辅助驾驶会一直有市场,而远程驾驶则是辅助驾驶的一个很重要的实现方式。另一个是高危/复杂/恶劣环境作业,通过远程操控,可以使一线作业人员远离危险,为一线人员提供安全舒适的作业环境。...后来SVC成为WebRTC 1.0 API的扩展规范, 现在可实现完备的SVC支持。...值得一提的是,今年9月的Edge浏览器更新,还添加了对另外一个云服务——谷歌Stadia的支持,允许玩家在Xbox主机上使用Edge浏览器在谷歌Stadia上玩游戏。...秒点是我身边一个朋友创业的项目, 前云帆加速联合创始人扶凯新的创业项目。

    2K30

    尘封多年,Servo 重磅回归!Rust 加持,执行速度可超过 Chromium

    Blink 是 Chromium 和其他基于它的浏览器使用的引擎,而 Gecko 是 Firefox 和其他一些浏览器使用的引擎。 Servo:有哪些值得期待?...另外,新的布局引擎也在开发中,在其开发过程中团队正在制定新的特性和兼容性计划。...自然,这让我们想知道更新的 Servo 布局引擎(或其他组件)是否可能会出现在 Firefox 中(凡事都有可能性!)。 之前很久,Servo 都被认为是实验性的项目。...通过 Embedding API definition,Servo 团队将与 Tauri 合作完成定义 Servo webview API 的工作,同时实现 API 的新特性和要求。...最后,我们会有 Initial Android support,这将让 Servo 在现代 Android 版本上完成构建,开发人员将来会在官方网站上发布 Nightly APK。

    1.8K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券