Cómo comprobar si una extensión de Firefox está firmada correctamente

Escrito por Rubén Velasco
Seguridad
0

Hoy en día, los principales navegadores web pueden añadir funciones adicionales gracias a las extensiones o complementos. Estas pequeñas aplicaciones dotan a los navegadores de características que, por defecto, no se implementan en el propio navegador, pero que permiten a los usuarios adaptarlo en cuanto a comportamiento y funciones a las necesidades de cada uno.

En muchas ocasiones, los piratas informáticos intentan aprovechar estas extensiones para comprometer los sistemas de los usuarios. Por ello, las desarrolladoras como Mozilla y Google se han visto obligadas a aplicar ciertas medidas de control de las extensiones para poder garantizar la seguridad de estas y asegurar a los usuarios que las extensiones han sido revisadas, son seguras y que no han sido modificadas durante la transferencia.

Para ello se introdujo en los navegadores la comprobación de la firma digital.

¿Qué es y para qué sirve la firma digital de extensiones para Firefox?

La firma digital de las extensiones de Firefox nos garantiza que la extensión ha sido verificada por Mozilla y que, mientras la descarguemos e instalamos desde su propia tienda de aplicaciones oficial, esta será segura para su uso y ni perjudicará la estabilidad del equipo ni comprometerá nuestra seguridad o privacidad. Estas mismas normas de aplicarán para aquellas extensiones que se alojen en páginas web externas y que quieran distribuirse, ya que deberán llevar consigo la correspondiente firma digital que permita al navegador garantizar su integridad.

Cuando descargamos una extensión desde la tienda de extensiones de la compañía, Mozilla Addons, podremos tener la certeza de que, mientras la firma sea válida, esta será fiable. De igual forma, cuando intentemos descargar e instalar una extensión desde una fuente externa, Mozilla comprobará si esta está firmada correctamente y, de no estarlo, se bloqueará su instalación por seguridad.

Esta firma solo afecta a las extensiones. Los temas, plugins, paquetes de idioma y diccionarios no tienen obligación de firmarse.

Cómo podemos comprobar si una extensión está correctamente firmada

Desde el propio administrador de extensiones podemos ver si todas las extensiones que tenemos instaladas están firmadas digitalmente o no. De no estarlo, el propio navegador nos mostrará una advertencia donde se indicará que la extensión puede ser peligrosa al no haberse podido verificar su integridad.

Firefox - Extensión sin firmar

Una vez instalada la extensión puede ser tarde para evitar posibles problemas de seguridad o privacidad, por lo que lo más recomendable es comprobar si la extensión está o no firmada digitalmente antes de que esta se instale en el navegador.

Por lo general, todas las extensiones de Mozilla Addons están firmadas digitalmente, por lo que, a grandes rasgos, el bloqueo de extensiones solo afectará a aquellas que descarguemos desde fuentes externas. Para ello, lo único que debemos hacer es intentar instalar una extensión que no ha sido firmada desde cualquier página web.

Extensión de Firefox peligrosa desde fuente sin verificar

El propio navegador nos mostrará un aviso bloqueando la instalación e indicando que, efectivamente, esta extensión no está firmada y puede ser peligrosa. En realidad, no tiene por qué serlo, puede ser una extensión útil, práctica y segura, sin embargo, para evitar problemas automáticamente se bloqueará su instalación.

Otra forma de comprobar si una extensión ha sido firmada correctamente es descargándola al ordenador y descomprimiendo el archivo .xpi. Dentro de este fichero podremos ver varios archivos y carpetas, siendo una de estas META-INF. Si dentro de ella se encuentra un fichero de firma con extensión .rsa (por ejemplo, firefox.rsa) es que la extensión está firmada correctamente y verificada por Mozilla.

Firma digital de extensiones de Firefox

De lo contrario, la extensión no está firmada o puede que haya sido modificada y que su uso suponga un peligro.

Los usuarios de las versiones “estable” y “beta” de Firefox ya no podrán instalar, bajo ningún concepto, extensiones que no estén firmadas digitalmente. Si tenemos que instalar una extensión sin firmar por cualquier motivo, debemos optar por utilizar la rama Nightly o la Developer Edition de Firefox que, por el momento, sí permiten la instalación de estas extensiones sin firmar.

¿Sueles revisar las firmas de tus extensiones? ¿Utilizas alguna extensión sin firmar?

Quizá te interese:


Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10