Firefoxがアドオンをインストールする前に3秒の遅延を強制するのはなぜですか？

アドオンをインストールする前のFirefoxの遅延にはセキュリティ上の利点があると思いますが、私の人生ではそれが何であるかを理解することはできません。（はい、遅延を無効にできることはわかっています。）

この質問に答える場合は、Firefoxメーリングリストまたはコミットログからの参照を提供してください。

どうして？

• 彼らはあなたが何をしているのかを考えてほしいので
• 偶発的なインストールを防ぐため
• 悪意を持ってインストールされたインストールを防ぐため

悪意を持ってインストールをトリガーするにはどうすればよいですか？

Jesse Rudermanによるセキュリティダイアログの競合状態に関する興味深い記事を次に示します。

別の攻撃形態では、画面上の特定の場所をダブルクリックするようにユーザーを説得します。このスポットは、「はい」ボタンが表示される場所です。最初のクリックでダイアログがトリガーされます。2回目のクリックで[はい]ボタンが表示されます。FirefoxとMozilla向けにこの攻撃のデモを作成しました。

バグ162020からのFirefoxの解決策は、ダイアログが表示されてから3秒まで「はい」/「インストール」ボタンの有効化を遅らせることです。これは、信頼できないコンテンツがダイアログを表示する機能を完全に拒否すること以外の唯一の可能な修正方法だと思います。残念ながら、この修正は拡張機能を頻繁にインストールするユーザーにとってはイライラさせられます。

基本的には、ユーザーがいつクリックするかを予測し、インストールダイアログ内でそのクリックをインターセプトすることです。Rudermanは、Firefoxからのバグレポートで、このようなより簡潔なゲームの状況を説明し、最終的に遅延期間を含めることにしました。

要約すると、彼の主なポイントは次のとおりです。

ユーザーがいつどこでクリックするかを制御または予測できる場合、ユーザーにソフトウェアをインストールさせることができます。

遅延期間の代替手段はありますか？

遅延期間は確かにこれに対処する唯一の方法でした。別のものは、何かをインストールするたびに「インストール」、「キャンセル」のボタンをシャッフルしている可能性があります。これは非常に頻繁に使用されるものですが、ユーザーを助けている以上に混乱させます。

別のアイデアは、ダイアログごとにウィンドウの位置をランダムに移動することです。これは、ボタンをシャッフルする、つまりユーザーを混乱させるのと同じ結果になります。

また、ランダム性を導入することは究極の解決策ではありません。ボタンのキーボードショートカットがある場合は、キー入力もインターセプトできます。とはいえ、ほとんどのプラグインは公式のFirefoxアドオンWebサイトからインストールされるため、今日のレガシー機能のようです。