<html><head></head><body><div class="ydp2c5039f2yahoo-style-wrap" style="font-family:Helvetica Neue, Helvetica, Arial, sans-serif;font-size:13px;"><div></div>
        <div dir="ltr" data-setdir="false">But what can go wrong?  Isn't there a guard with a photo book that has been updated to now include Bonnie and Clyde?</div><div dir="ltr" data-setdir="false"><br></div><div dir="ltr" data-setdir="false">Seriously I suspect break-ins will not stop until at a minimum there is a staff of white hackers who have full access to read source code and permissions to try all sorts of things and lastly these people need to be well rewarded when they do find a third story window that was not locked. </div><div dir="ltr" data-setdir="false"><br></div><div dir="ltr" data-setdir="false">I was going to suggest something about a cyber-watchman, but a good hacker will do her work at a low duty cycle so as not to draw attention to herself.</div><div><br></div>
        
        </div><div id="ydpe5ea4fe1yahoo_quoted_9369106585" class="ydpe5ea4fe1yahoo_quoted">
            <div style="font-family:'Helvetica Neue', Helvetica, Arial, sans-serif;font-size:13px;color:#26282a;">
                
                <div>
                    On Thursday, December 17, 2020, 01:18:48 PM PST, Rick Moen <rick@linuxmafia.com> wrote:
                </div>
                <div><br></div>
                <div><br></div>
                <div>About a week ago, I wrote:<br><br>> I personally felt the critics underreacted to the _earlier_ change.<br>> Starting with Firefox 48 on 2016-08-02, Firefox refuses to run any<br>> extension not cryptographically signed by Mozilla, Inc.  (There has been<br>> a temporary workaround by running the ESR or developer or nightly or<br>> unbranded builds and doing fiddly things in about:config to un-break<br>> ability to run your own choice of extensions, but the writing was on the<br>> wall.)<br>> <br>> IMO, if you cannot run code without someone else's permission, then it's<br>> not open source.<br><br>But mandatory corporate signing of publicly available code is for<br>everyone's protection, you see.  We were supposed to forgive the minor <br>inconvenience of newer Firefox versions no longer running extensions<br>unless they'd been cryptographically signed by Mozilla Corporation at<br>the addons.mozilla.org Web site -- because, that way, Mozilla<br>Corporation could exclude malicious and criminally directed code from<br>the extensions market.  Surely, the theoretical loss of user autonomy is<br>worth it, for the freedom from malware, etc., that it brings.<br><br>And the similar walled gardens of corporate signing by competing<br>browser publishers such as Google and Microsoft, why, that's the same<br>thing.<br><br><br>Oh, what's that fluttering of wings I hear?  I believe it's the Irony<br>Fairy.<br><br><br><a href="https://arstechnica.com/information-technology/2020/12/up-to-3-million-devices-infected-by-malware-laced-chrome-and-edge-add-ons/" rel="nofollow" target="_blank">https://arstechnica.com/information-technology/2020/12/up-to-3-million-devices-infected-by-malware-laced-chrome-and-edge-add-ons/</a><br><br>  SURPRISE â€”<br>  Up to 3 million devices infected by malware-laced Chrome and Edge<br>  add-ons<br>  Security firm identifies 28 malicious extensions hosted by Google and<br>  Microsoft.<br>  DAN GOODIN - 12/16/2020<br><br><br>  As many as 3 million people have been infected by Chrome and Edge<br>  browser extensions that steal personal data and redirect users to ad or<br>  phishing sites, a security firm said on Wednesday.<br><br>  In all, researchers from Prague-based Avast said they found 28<br>  extensions for the Google Chrome and Microsoft Edge browsers that<br>  contained malware. The add-ons billed themselves as a way to download<br>  pictures, videos, or other content from sites including Facebook,<br>  Instagram, Vimeo, and Spotify. At the time this post went live, some,<br>  but not all, of the malicious extensions remained available for download<br>  from Google and Microsoft.<br><br>  Avast researchers found malicious code in the JavaScript-based<br>  extensions that allows them to download malware onto an infected<br>  computer. [...]<br><br><br>Oh, say it's not so, Uncle Google and Auntie Microsoft.  I thought you'd<br>promised to protect us with your holy signing keys!<br><br><br>  Over the past few years, third-party add-ons have become a widely used<br>  means for infecting people with malware and adware. Last year, a<br>  researcher uncovered Chrome and Firefox extensions that collected and<br>  published the browsing histories<br>  (<a href="https://arstechnica.com/information-technology/2019/07/dataspii-inside-the-debacle-that-dished-private-data-from-apple-tesla-blue-origin-and-4m-people/" rel="nofollow" target="_blank">https://arstechnica.com/information-technology/2019/07/dataspii-inside-the-debacle-that-dished-private-data-from-apple-tesla-blue-origin-and-4m-people/</a>) <br>  of an estimated 4 million people.<br><br>  The data divulged proprietary information from some of the biggest<br>  names in tech, including Tesla, Trend Micro, Symantec, and Blue Origin.<br>  Individuals’ tax returns, doctor appointment schedules, and other<br>  personal information was also exposed.<br><br>  In at least one case of extension tampering, malicious code was inserted<br>  into extensions after attackers gained access to the accounts of<br>  legitimate developers.<br>(<a href="https://arstechnica.com/information-technology/2017/08/after-phishing-attacks-chrome-extensions-push-adware-to-millions/" rel="nofollow" target="_blank">https://arstechnica.com/information-technology/2017/08/after-phishing-attacks-chrome-extensions-push-adware-to-millions/</a>)<br>  In other cases, the extensions were published by developers who<br>  managed to bypass vetting processes browser makers used in an attempt to<br>  block abusive or malicious add-ons.<br><br>It's not completely clear what author Goodin means by the phrase 'bypass<br>vetting processes browser makers used', but I can think of possible<br>meanings, including developers of extensions with established user bases<br>getting bought out, and then the new owner putting out newer versions <br>primarily as malware delivery vehicles -- as the privacy engineering guy<br>at DuckDuckGo notes:<br><a href="https://mobile.twitter.com/kdzwinel/status/885540551025676288" rel="nofollow" target="_blank">https://mobile.twitter.com/kdzwinel/status/885540551025676288</a><br><br>That is what happened with a low-end ad-blocker named Nano Adblocker /<br>Nano Defender:<br><a href="https://arstechnica.com/information-technology/2020/10/popular-chromium-ad-blockers-caught-stealing-user-data-and-accessing-accounts/" rel="nofollow" target="_blank">https://arstechnica.com/information-technology/2020/10/popular-chromium-ad-blockers-caught-stealing-user-data-and-accessing-accounts/</a><br><br>A certain Hugo Xu, originator of this modestly successful<br>cottage-industry extension for Chrome, decided a couple of months ago<br>that he no longer had time to maintain the codebase, and sold the<br>rights to somebody-nobody-in-particular, who thereupon used it as a<br>malware delivery vehicle with a built-in, trusting audience.<br><br>I am reminded of the problem with trademarks/brands:  We get accustomed<br>to using the brand identity as a proxy for getting to know and trust the<br>artisans behind the product, but unfortunately because we _don't_ know<br>those people, we are at risk when the brand gets sold to some bunch of<br>low lives.  E.g.:<br><br>Polaroid<br>Remington<br>Bell and Howell<br>RCA<br>Zenith<br>Magnavox<br>The Sharper Image<br>Pan Am<br>Volvo<br>Hoover<br>Motorola<br>Stanley<br><br>Anyway, if you actually believe that code-signed walled gardens make you <br>safe, then, oh, gosh no.  <br><br><br><br>_______________________________________________<br>conspire mailing list<br><a href="mailto:conspire@linuxmafia.com" rel="nofollow" target="_blank">conspire@linuxmafia.com</a><br><a href="http://linuxmafia.com/mailman/listinfo/conspire" rel="nofollow" target="_blank">http://linuxmafia.com/mailman/listinfo/conspire</a><br></div>
            </div>
        </div></body></html>