Mozilla aplicará la autenticación de dos factores para los desarrolladores de extensiones

Desarrolladores de extensiones de Firefox necesitar para configurar sus cuentas para admitir la autenticación de dos factores (2FA) a principios de 2020, ya que este es un nuevo requisito que Mozilla acaba de anunciar.

El razonamiento de Mozilla detrás de la decisión es simple: evitar que los atacantes logren obtener el nombre de usuario y la contraseña de los desarrolladores de extensiones para manipular las extensiones que se ofrecen en Mozilla AMO.



firefox account two-step authentication

La organización abandonó su modelo 'Revisar primero - Publicar después' en 2017 para entregar actualizaciones y nuevos lanzamientos de complementos más rápido. Si bien las extensiones pueden revisarse manualmente después del hecho (después de la publicación), existe un lapso de tiempo entre su puesta a disposición de los usuarios y la revisión; esto podría permitir a los actores malintencionados enviar contenido no deseado o malintencionado a los usuarios en forma de complementos si se pueden eludir los sistemas automatizados que existen.



A partir de principios de 2020, los desarrolladores de extensiones deberán tener habilitado 2FA en AMO. Esto está destinado a ayudar a evitar que los actores malintencionados tomen el control de los complementos legítimos y sus usuarios.

La capa adicional de seguridad que Mozilla requiere de los desarrolladores de extensiones no será necesaria para las cuentas que utilicen la API de carga de AMO.

Los usuarios habituales que mantienen cuentas en AMO no están obligados a habilitar 2FA para sus cuentas también. Si bien Mozilla recomienda configurar 2FA para todas las cuentas de Firefox, no es un requisito en este momento.

Propina: mira nuestro guía sobre cómo habilitar la autenticación de dos factores en Firefox aquí.

Una vez que el requisito se pone en marcha, se solicita a los desarrolladores que habiliten 2FA para sus cuentas cuando realicen cambios en sus complementos.

Antes de que este requisito entre en vigencia, trabajaremos en estrecha colaboración con el equipo de cuentas de Firefox para asegurarnos de que la configuración de 2FA y la experiencia de inicio de sesión en AMO sean lo más fluidas posible. Una vez que este requisito entre en vigencia, se les pedirá a los desarrolladores que habiliten 2FA al realizar cambios en sus complementos.

Palabras de cierre

El nuevo requisito de autenticación de dos factores no afectará a las extensiones que ya están disponibles. Estos permanecen disponibles, parece que los desarrolladores deben configurar 2FA para las cuentas si planean realizar cambios en sus complementos. No está claro si esto también será necesario para los nuevos complementos que se lanzan en AMO.

La capa adicional debería proteger contra la mayoría de los ataques a la cadena de suministro. Como ocurre con todas las opciones de autenticación de dos factores, es importante tener a mano los códigos de recuperación. Si un desarrollador de extensiones pierde el acceso al dispositivo 2FA y los códigos de recuperación, es posible que esto pueda llevar a una pérdida permanente de acceso.

Ahora tu: ¿Cuál es su opinión sobre el nuevo requisito?