點擊上方“Java基基”，選擇“設為星標”

做積極的人，而不是積極廢人！

每天14:00更新文章，每天掉億點點頭發...

源碼精品專欄

Firefox 在 2002 年誕生以來，就以輕便、快速、簡單與高擴充性的特點廣受用戶的喜愛。

Firefox 有著豐富的附加組件，包括反跟蹤軟件、廣告攔截器、主題和實用程序等，用戶可以通過增添額外的功能或樣式實現 Firefox 的個性化定制。

但是，跟 Chrome 插件一樣，Firefox 中的這些附加組件在為用戶帶來方便的同時，也帶來了一定的風險。

在本周，Mozilla 安全博客宣布：在 Firefox 團隊發現存在惡意行為后，其已決定封殺某些被濫用的附加組件。

公告中雖然提到了兩款特定的附加組件（“Bypas” 和 “Bypass XM”），但并沒有詳細地說明它們都干了什么。

不過可以肯定的是，大約有 45.5 萬名用戶都受到了潛在影響。

Mozilla 稱，這次被封禁的附加組件不僅篡改了瀏覽器的更新功能，并且讓近百萬用戶都無法下載更新、獲取屏蔽列表或更新遠程配置內容。

此外， Labs 安全博客也顯示，此款系統附加組件的創作者宣稱，這些附加組件的目的就是為了繞過某些網站付費的限制。

其實，早在今年 6 月，就已經有人發現了這兩款名為 “Bypass” 和 “Bypass XM” 的附件組件在濫用 Firefox 瀏覽器的代理 API，而且還使用這些 API 來管理瀏覽器如何連接到互聯網。

當然，現在這些惡意的附加組件都已被阻止。另外，Firefox 團隊在補救過程中使用了代理 API 來創建和部署修復程序時，還臨時暫停了新附加組件開發人員提交的批準。

從 V.91.1 開始， Firefox 已經實施了直接連接以用于更新目的和瀏覽器發出的其他 “重要請求” 的回退機制，無論代理配置是否導致了連接問題，都可以進行下載。

10 月初，Mozilla 發布了 Firefox 93 版。最新版本擁有新的選項卡卸載功能、阻止來自 HTTPS 網頁的 HTTP 下載的能力以及對 3DES 加密的默認支持的結束。

Mozilla 還敦促用戶更新到最新版本的 Firefox，使用代理 API 的開發人員也被開始要求在他們的附加組件中包含相應的代碼來加快審查。

除此之外 ，Mozilla 還發布了一款名稱為 “Proxy ” 的系統附加組件，以進一步緩解這方面的問題。

如果 Firefox 用戶想要檢查、查看自己的瀏覽器是否安裝了這些惡意附加組件，可以點擊 “菜單” 按鈕跳轉到 “幫助” 下的 “更多” 獲取故障排除信息。

然后，可以再向下翻頁到 “附加組件” 里對 “Bypas” 或 “Bypass XM” 的名稱進行搜索。

若在列表中發現了它們的身影，可以盡快通過 Firefox 菜單中的 “擴展和主題” 頁面予以禁用或刪除。

歡迎加入我的知識星球，一起探討架構，交流源碼。加入方式，長按下方二維碼噢：

已在知識星球更新源碼解析如下：

最近更新《芋道 2.X 入門》系列，已經 101 余篇，覆蓋了MyBatis、Redis、MongoDB、ES、分庫分表、讀寫分離、、Webflux、權限、、Dubbo、、、Kafka、性能測試等等內容。

提供近 3W 行代碼的 示例，以及超 6W 行代碼的電商微服務項目。