去年7月，我们指出Google Reader Notifier扩展已经变成垃圾软件，NoScript插件劫持了另一个扩展，甚至快捷拨号扩展也在向您发送垃圾邮件-所以扩展与全面的特洛伊木马捆绑在一起只是个时间问题。

上一次，它就像在你的浏览器中显示垃圾链接，跟踪你要去的URL一样简单-真的很令人沮丧和邪恶，但不一定是世界末日，因为它不会占领你的PC。

昨天，Mozilla Add-ons博客报道称，有两个扩展包含恶意特洛伊木马程序，它们劫持了您的PC。

如果你在任何时候安装了这些扩展，你应该确保在你的电脑上运行完整的病毒扫描。

怒斥Firefox扩展安全

不要再大喊大叫了，让我引用我上次说过的话…

Mozilla目前的流程是针对扩展运行自动病毒扫描程序，由于这个问题，他们在该流程中添加了更多的扫描工具。这并不能解决真正的问题，因为任何有一定技能的病毒程序员都可以编写不会被任何商业病毒扫描工具捕获的定制病毒。当然，有些工具具有启发式方法，可能会检测rootkit和一些更恶心的技术，但这并不能完全防止该问题。

在我看来，真正的问题甚至不是传统的病毒。如果有人编写一个原生Firefox扩展，简单地获取所有密码并将其发送到流氓站点，会有多难呢？没有安全层来阻止插件访问存储在浏览器中的个人信息，也没有病毒扫描程序会选择本地Firefox扩展，因为它们是用Javascript编写的。

部分解

没有人期望Mozilla浏览每一个扩展的源代码--无论如何，这很容易发生人为错误。不过，合理的做法是设置一些安全层，以防止加载项访问存储在浏览器中的任何个人信息，除非您特别允许它们这样做。

你能做些什么来保证安全呢？

您应该始终确保在安装扩展之前检查对它的评论-当别人担保扩展…时，不要只相信他们的话。一定要做好尽职调查，先把事情查清楚。当然，同样的道理也适用于任何应用程序--如果你不做病毒扫描就安装应用程序，那么你的电脑就很容易被劫持。

请阅读：AMO上的安全问题[Mozilla Add-ons博客]