a black and white sign with white letters
Pesquisar
Instagram Linkedin Facebook Soundcloud Youtube Discord

Mozilla propõe modelo de extensão segura com isolamento de contextos JavaScript

Facebook Youtube Instagram Soundcloud Envelope

O uso de extensões em navegadores tornou-se comum tanto por usuários quanto por profissionais da área técnica. No entanto, com o aumento da complexidade das aplicações web e da sofisticação dos ataques cibernéticos, a segurança das extensões se tornou uma preocupação crítica. Em resposta a esse cenário, a Mozilla anunciou recentemente uma proposta inovadora: um modelo de extensões com isolamento de contextos JavaScript, projetado para mitigar riscos como roubo de sessão e ataques de cross-site scripting (XSS).

Neste artigo, o Blog Dolutech analisa em profundidade a proposta da Mozilla, como ela se integra ao ecossistema de navegadores modernos e o que muda para desenvolvedores e usuários.

Depositphotos 230786730 S
Firefox web browser

Por que as extensões de navegador representam riscos?

As extensões de navegador são pequenos pacotes de software que ampliam as funcionalidades do navegador, oferecendo desde bloqueadores de anúncios até ferramentas de produtividade, integração com APIs, gerenciadores de senhas, e muito mais. Contudo, muitas dessas extensões operam com permissões amplas, incluindo acesso ao conteúdo das páginas, cookies, sessões e scripts JavaScript.

Essa permissão ampla abre portas para abusos. Caso uma extensão seja mal desenvolvida, comprometida ou envolvida em uma campanha de malware, ela pode vazar informações sensíveis, interceptar sessões autenticadas ou manipular o DOM da página de forma maliciosa.

Ataques XSS, por exemplo, são capazes de injetar scripts que leem cookies de autenticação ou executam ações em nome do usuário. Quando o código de uma extensão compartilha o mesmo contexto JavaScript da página, essas vulnerabilidades se multiplicam.

O que a Mozilla está propondo?

A proposta da Mozilla gira em torno do isolamento total entre o código JavaScript da extensão e o código JavaScript da página web. Com isso, as extensões passam a operar em um ambiente completamente separado, eliminando a possibilidade de interferência mútua. Essa separação é chamada de “isolamento de contexto JavaScript”.

O modelo busca garantir que:

  • O código da extensão não possa acessar diretamente objetos da página;
  • O código da página não possa invadir ou interagir com a lógica da extensão;
  • Dados sensíveis, como tokens de sessão e credenciais, estejam sempre isolados;
  • As comunicações entre extensão e conteúdo sejam feitas exclusivamente por canais controlados, como postMessage.

Essa mudança é fundamental para combater ameaças modernas como o roubo de sessão, execução remota de scripts e manipulação de formulários. Ao adotar esse modelo, a Mozilla pretende elevar o padrão de segurança de todas as extensões disponíveis em sua loja.

Como isso se aplica ao Firefox?

O Firefox já utiliza a API WebExtensions, que segue padrões modernos de desenvolvimento. No entanto, com o novo modelo proposto, a Mozilla visa endurecer a separação entre o conteúdo das páginas e os scripts de extensões. As extensões poderão continuar utilizando content scripts, mas esses scripts serão encapsulados e executados em contextos separados, sem acesso direto ao DOM principal.

Além disso, a Mozilla também está revisando a política de permissões de extensões e endurecendo o uso de funções perigosas como eval() e base64_decode(). Plugins que utilizarem essas funções sem justificativas técnicas claras poderão ser bloqueados de publicação.

Quais os benefícios para o usuário?

O modelo de isolamento de contexto traz diversas vantagens para os usuários comuns e para empresas que dependem de extensões para funcionalidades específicas:

  • Privacidade aprimorada: Ao evitar que extensões leiam dados diretamente do DOM, protege-se cookies, tokens e informações do usuário contra vazamentos acidentais ou maliciosos.
  • Menor risco de ataque XSS: Invasores que explorarem vulnerabilidades em páginas web não poderão abusar de extensões instaladas para comprometer o sistema.
  • Estabilidade da navegação: Conflitos entre scripts de terceiros e extensões são evitados, resultando em um ambiente mais previsível e controlado.
  • Confiança no ecossistema: Navegadores que aplicam isolamento de forma eficiente transmitem mais segurança aos seus usuários, algo fundamental em tempos de aumento de ataques de phishing, malware e campanhas de espionagem digital.

O que muda para os desenvolvedores?

Os desenvolvedores de extensões precisarão se adaptar a um novo paradigma onde o acesso direto ao conteúdo da página é restrito. Isso exige:

  • Utilizar APIs de comunicação entre o background script da extensão e o content script;
  • Evitar a manipulação direta do DOM;
  • Adotar políticas de segurança de conteúdo (CSP) rígidas e pré-configuradas;
  • Justificar o uso de funções de alto risco durante a submissão na loja de extensões;
  • Reduzir dependências de bibliotecas externas que façam uso de práticas inseguras.

A Mozilla também está criando documentação e ferramentas de testes para auxiliar os desenvolvedores nessa migração.

Uma tendência no setor de navegadores

Outros navegadores como Chrome e Edge também vêm implementando restrições semelhantes. A iniciativa da Mozilla está em conformidade com uma tendência do setor em endurecer políticas de execução de código em extensões, especialmente após os diversos casos de roubo de sessão, mineração de criptomoedas via extensões, e abusos de APIs privilegiadas.

Com a introdução do “Manifest V3” no Chrome, a estrutura de permissões foi redesenhada para exigir mais transparência e controle, e a Mozilla segue caminho similar, com foco em segurança e interoperabilidade.

Reforçando a segurança com múltiplas camadas

O novo modelo proposto pela Mozilla não substitui práticas essenciais de segurança, como:

  • Navegar em HTTPS;
  • Atualizar constantemente o navegador e as extensões;
  • Instalar extensões apenas da loja oficial;
  • Monitorar permissões concedidas às extensões;
  • Usar autenticação multifator para serviços sensíveis.

O isolamento de contexto complementa essas medidas, fornecendo uma camada adicional contra invasões silenciosas.

Conclusão

O isolamento de contexto JavaScript proposto pela Mozilla é uma evolução importante no modelo de segurança de extensões de navegador. Ele vem em um momento oportuno, onde ataques direcionados, engenharia social e abuso de extensões são cada vez mais comuns.

Para usuários, a novidade representa mais privacidade, menor risco e uma experiência mais segura. Para desenvolvedores, é uma chamada à responsabilidade para seguir boas práticas e entregar soluções realmente confiáveis.

Na Dolutech, acreditamos que segurança e inovação devem caminhar juntas. Por isso, acompanhamos e apoiamos iniciativas como essa, que fortalecem o ecossistema da web.

Conheça nosso Canal do Youtube
Escute Nosso DoluCast
Melhores da Semana

Quer saber onde estamos alojado?

Conheça a ServerSP uma empresa de confiança que atua no ramo desde 2007, especializada em Ambientes Web, Cloud Computing, Servidores dedicados.

Confie em quem sabe cuidar do ambiente onde seu projeto vai estar alojado.

Conheça Agora
a black and white sign with white letters

Dolutech é um blog de tecnologia e Cibersegurança voltado para o público que queira sempre se manter informado sobre esse mundo tecnológico.

Focamos em aprendizado e conhecimento.

Venha Fazer parte desse Mundo conosco!

Links Úteis do Dolutech
Nossas Redes Sociais
Facebook Instagram Youtube
Receba nossa Newsletter
Todos os Direitos reservados a Dolutech 2021 - 2025.