Estensioni Firefox disattivabili a distanza per singoli domini: la novità non piace

A inizio luglio 2023, Mozilla ha rilasciato Firefox 115, versione più aggiornata del noto browser Web che introduce alcune importanti novità nella gestione delle estensioni. Le estensioni Firefox rappresentano vera ricchezza perché consentono di personalizzare in profondità il comportamento dell’applicazione utilizzata per la navigazione online.

Che gli utenti di un qualunque browser siano in grado di decidere liberamente quali estensioni possono essere caricate al momento della visita di specifici siti Web è certamente un valore aggiunto.

Mozilla era fino a ieri già in grado di disattivare estensioni a distanza intervenendo, ad esempio, in quei casi in cui un componente aggiuntivo sviluppato per Firefox avesse cominciato a mostrare comportamenti assimilabili a quelli di un malware o di uno spyware.

Con il rilascio di Firefox 115, tuttavia, Mozilla si attrezza per disabilitare le estensioni sulla base dei singoli siti Web visitati dagli utenti del browser. La novità è brevemente descritta nelle note di rilascio:

Alcuni utenti di Firefox potrebbero imbattersi in un messaggio nel pannello delle estensioni che indica che i loro componenti aggiuntivi non sono consentiti sul sito attualmente aperto. Abbiamo introdotto una nuova funzionalità back-end per consentire ad alcune estensioni monitorate da Mozilla di funzionare solo su siti Web specifici per vari motivi, inclusi problemi di sicurezza.

Mozilla ha una lista di siti Web sui quali disattivare alcune estensioni Firefox

Allo stato attuale, almeno per quanto ne sappiamo, né Chrome né Edge né Safari né altri browser integrano un kill switch che permetta di disattivare “a comando” il caricamento di talune estensioni su pagine Web specifiche. La novità era comparsa su Bugzilla qualche tempo fa ma Mozilla non ha mai motivato nel dettaglio le motivazioni della decisione.

In un articolo di supporto, viene semplicemente confermata la presenza della funzionalità di blocco delle estensioni su siti Web specifici e presentata la procedura per gli utenti che fossero interessati a disabilitarla.

Ogni estensione per Firefox deve oggi essere caricata sulla piattaforma Mozilla, sottoposta ad analisi e il suo codice firmato digitalmente prima di poter essere installata nel browser da parte degli utenti. Non è quindi chiaro perché Mozilla abbia sentito il bisogno di dotarsi di una funzionalità da molti considerata fuori luogo.

Per bloccare le estensioni che non devono “entrare in funzione” su pagine Web specifiche, Mozilla dispone di una blocklist. È chiamata lista dei domini in quarantena ed è al momento vuota. Lo si può verificare digitando about:config nella barra degli indirizzi di Firefox quindi cercando quarantined e infine osservando quanto riportato accanto a extensions.quarantinedDomains.list.

Il punto nodale è che al momento Mozilla non ha chiarito quali domini intenda aggiungere o in quali circostanze e per quali motivi un dominio possa essere inserito nell’elenco. Mozilla cita “problemi di sicurezza” tra le principali motivazioni (comunque non dettagliate). Ma quali sarebbero le eventuali minacce che potrebbero essere risolte usando un elenco di domini controllati a distanza?

Il messaggio sull’avvenuta disabilitazione di un’estensione, inoltre, non appare nella pagina delle estensioni ma è mostrato solo nella finestra pop-up che compare cliccando sul pulsante Estensioni nella barra degli strumenti di Firefox.