>Многие ведь поставят не из трастового источника. Чтобы поставить таким макаром - надо достаточно много кнопочек нажать.
>Какое раздолье для фишеров :)
По дефолту разрешена установка только с addons.mozilla.org и updates.mozilla.org. Прописать других конечно, можно, но для фишеров - достаточно геморройный вектор атаки.Куда проще троян в письме прислать который запустится после открытия чем сподвигнуть юзера сперва прописать их а только потом появится шанс установиться.
С таким же успехом можно левые деб- и рпм- пакеты раздавать, например.Т.е. в теории то конечно можно но обычный туповатый юзер не сообразит как прописать новый доверяемый ключ а те кто знает как это сделать - не будут лажу всякую качать.Попытки проабузить приведут к резонной подтяжке гаек (например ничто не мешает мозилле вбахать схему с цифровыми подписями и доверяемыми ключами как в пакетных манагерах и пущай юзер если доверяет - сам новые доверяемые паблик ключи прописывает, это будет куда геморройнее чем просто урлу добавить и соответственно - отсеет идиотов которые это необдуманно делают от тех кто натурально хочет оверрайднуть безопасность с дефолтов на свой зад). На самом деле все просто - засунуть прописывание доверяемых ключей глубоко в настройки. А по дефолту показывать при установке подписанных неправильным ключом аддонов ФИГУ.В итоге фишерье будет сосать при сохранении возможности поставить аддон не только с сайта мозиллы если уж реально приперло :)