Mozillaは拡張機能開発者に二要素認証を実施します
Firefox拡張機能開発者 必要 これは、Mozillaが発表したばかりの新しい要件であるため、2020年の初めに2要素認証(2FA)をサポートするようにアカウントを設定することです。
決定の背後にあるMozillaの推論は単純です。攻撃者が拡張機能開発者のユーザー名とパスワードを取得して、Mozilla AMOで提供されている拡張機能を操作するのを防ぐことです。
組織 2017年に「最初にレビュー-後で公開」モデルを削除 アップデートと新しいアドオンリリースをより速く配信するため。拡張機能は、事後(公開後)に手動でレビューされる場合がありますが、ユーザーが利用できるようにすることとレビューとの間には時間的なギャップがあります。これにより、配置されている自動化システムをバイパスできる場合、悪意のあるアクターが不要または悪意のあるコンテンツをアドオンの形でユーザーにプッシュする可能性があります。
2020年初頭から、拡張機能の開発者はAMOで2FAを有効にする必要があります。これは、悪意のある攻撃者が正当なアドオンとそのユーザーを制御するのを防ぐためのものです。
Mozillaが拡張機能開発者に要求する追加のセキュリティ層は、AMOのアップロードAPIを使用するアカウントには必要ありません。
AMOでアカウントを管理している通常のユーザーは、自分のアカウントでも2FAを有効にする必要はありません。 MozillaはすべてのFirefoxアカウントに2FAを設定することを推奨していますが、現時点では必須ではありません。
ヒント :私たちをチェックしてください Firefoxで2要素認証を有効にするためのガイドはこちら 。
要件が有効になると、開発者はアドオンに変更を加えるときに、アカウントに対して2FAを有効にするように求められます。
この要件が施行される前に、Firefoxアカウントチームと緊密に連携して、AMOでの2FAのセットアップとログインエクスペリエンスが可能な限りスムーズになるようにします。この要件が有効になると、開発者はアドオンに変更を加えるときに2FAを有効にするように求められます。
おわりに
新しい2要素認証の要件は、すでに利用可能な拡張機能には影響しません。これらは引き続き利用可能ですが、アドオンに変更を加える予定の場合、開発者がアカウントに2FAを設定する必要があるようです。これがAMOでリリースされる新しいアドオンにも必要かどうかは不明です。
追加の層は、サプライチェーン攻撃の大部分から保護する必要があります。すべての2要素認証オプションの場合と同様に、回復コードを手元に置いておくことが重要です。拡張機能の開発者が2FAデバイスと回復コードへのアクセスを失った場合、これによりアクセスが永久に失われる可能性があります。
では、あなた: 新しい要件についてどう思いますか?