Los plugins, tal como están planteados ahora, son una amenaza para los navegadores. Que se carguen y se ejecuten automáticamente en el navegador, desde luego, es una amenaza para los equipos en los que se ejecutan (e históricamente podemos ver casos de vulnerabilidades en navegadores que están relacionadas directamente con ellos).
Mozilla lo sabe, y para intentar atajar este problema va a retirar la ejecución automática de plugins en Firefox 26, con la excepción de Flash. De este modo, el usuario que quiera ejecutar un applet de Java (por poner un ejemplo) tendrá que hacer clic. Si no, no se ejecutará.
Firefox 23 incluyó por defecto la posibilidad de activar esta característica a través del administrador de complementos del navegador. En la siguiente versión se habla directamente de Java como un plugin inseguro por defecto, y por ello el click to play estará siempre activado para este caso concreto (y no desactivable fácilmente).
En Firefox 26 se extremará esta medida: todos los complementos que no sean la última versión de Flash tendrán que activarse individualmente y para cada página. Aunque el usuario seguirá teniendo la opción de omitir esta característica para un complemento concreto, tendrá que ser consciente de lo que hace.
La idea de esta funcionalidad, realmente, es proteger a los usuarios sin experiencia. Quien necesite un complemento y lo sepa también sabrá cómo reactivarlo, mientras que quien no sepa que lo necesita cerrará puertas a posibles vulnerabilidades asociadas a ellos.
No es el primer caso en el que un navegador bloquea los plugins de terceros. Ya vimos que Google planea hacer algo muy similar en enero de 2014.
Vía | Ghacks
Ver 7 comentarios