2min

Mozilla heeft stilletjes de beveiligingsextensie Web Security van een lijst met aanbevolen add-ons verwijderd. Dit naar aanleiding van een Reddit-post van uBlock Origin-ontwikkelaar Raymond Hill, waarna er meer verwijten aan Web Security volgden. Hill stelt dat er bij ieder bezoek aan een website een POST-verzoek aan een externe server volgt.

Web Security wordt omschreven als een dienst met “uitgebreide real-time bescherming”. Hiervoor vertrouwt de add-on op “geavanceerde databases”, om gebruikers te beschermen tegen spionage tijdens het browsen, de dreiging van malware en phishing. Inmiddels telt Web Security meer dan 220.000 installaties, terwijl de waarderingsscore uitkomt op een 4,5 uit 5. Wegens de populariteit nam Mozilla de add-on vorige week op in een lijst waar het aanbevelingen doet voor privacy binnen Mozilla.

Onversleutelde communicatie

Nadat er wat kritiek volgde op de extensie, ging hij plots uit de lijst. Dit zal onder meer te maken hebben met de blog van securityonderzoeker Mike Kuketz. Volgens hem stuurt Web Security de bezochte URL samen met de daarvoor bezochte pagina door. Dit zou ook onversleuteld (zonder HTTPS of TLS) gebeuren. Gebruikers zien dat als het overmatig tracken binnen een add-on bedoeld voor privacy.

Reactie ontwikkelaar

Web Security-ontwikkelaar Creative Software Solutions kwam daarna met een reactie. Tegenover Bleeping Computer stelt de maker dat één van de security-onderdelen de verzochte website tegen een wereldwijde zwarte lijst aanhoudt. Dat maakt de communicatie tussen de cliënt en de servers onvermijdbaar. Het bedrijf verzekert dat de communicatie tot een minimum beperkt blijft. Ook zou de communicatie niet vastgelegd worden.

Creative Software Solution wijst erop dat zijn servers in Duitsland staan. Daardoor dient er overeenstemming te zijn met de GDPR, gegevens worden alleen verwerkt op de aangegeven redenen. Verder zegt de ontwikkelaar dat Mozilla de extensie verifieerde, waarna alle communicatie die plaatsvindt goedgekeurd werd.

Aan ZDNet laat Mozilla echter weten op de hoogte te zijn van de zorgen vanuit de community. Zodoende vindt er onderzoek plaats naar Web Security. Bij het onderzoeksproces hoort ook het verwijderen van de extensie van de betreffende lijst.