Mozilla оголосила про новий стандарт прозорості для екосистеми Firefox: з 3 листопада 2025 року розробники розширень мають декларувати практики збору та обміну даними, а в першій половині 2026 року вимога стане обов’язковою для всіх аддонів у каталозі Mozilla.
Що змінюється: manifest.json, категорії даних та згода користувача
У файл manifest.json додається параметр browser_specific_settings.gecko.data_collection_permissions, де потрібно чітко вказати, які категорії обробляються: ім’я, адреса електронної пошти, пошукові запити, дані про відвідані сайти і активність у браузері. Якщо аддон не збирає дані, це слід прямо зафіксувати.
Firefox автоматично зчитуватиме ці метадані та показуватиме їх під час установки, поруч зі стандартними дозволами. Ті самі відомості відобразяться на сторінці аддона в addons.mozilla.org і в розділі «Permissions and Data» інтерфейсу about:addons. Користувач зможе погодитися на збір або відхилити його, аналогічно наявним запитам на доступ до функцій браузера.
Перехідний період і модерація: вимоги до нових і наявних розширень
Початково правило поширюється на нові розширення. Для вже опублікованих аддонів зобов’язання виникатиме при переході на оновлений фреймворк і релізі нової версії. Пакети без коректно заповненої декларації не проходитимуть модерацію і повертатимуться розробникам із переліком помилок.
Навіщо це запроваджується: прозорість, контроль і зниження ризиків
Розширення мають глибокий доступ до веб-контенту, історії переглядів та інтерфейсу браузера, що підвищує ризики витоку даних, трекінгу і зловживань дозволами. Декларація категорій і отримання явної згоди створюють додатковий рівень контролю користувача й зменшують інформаційну асиметрію.
Ринок неодноразово стикався з інцидентами: видалення The Great Suspender з Chrome Web Store у 2021 році через шкідливі зміни в коді; скандал із Web of Trust (2016) через продаж анонімізованих, але де-факто ідентифікованих даних моніторингу; розслідування DataSpii (2019), що викрило витік приватної інформації через популярні розширення; кейси з надмірним збором телеметрії в Avast Online Security (2019). Аналітика Duo Security (CRXcavator, 2019) також показала, що значна частка розширень запитує надмірні дозволи, підвищуючи площину атаки.
Порівняння з практиками ринку та регуляціями
Підхід Mozilla узгоджується з трендами індустрії: Apple App Store запровадив «ярлики конфіденційності» у 2020 році, Google Play — розділ Data safety у 2022-му, а Chrome Web Store вимагає декларації практик даних з 2021 року. Прозоре інформування суб’єкта даних також відповідає очікуванням регуляторів у межах GDPR та суміжних норм, де згода до початку обробки — ключова вимога.
Практичні наслідки: рекомендації для користувачів і команд безпеки
Користувачам варто ретельно читати картку розширення та екран установки. Якщо заявлені категорії (наприклад, доступ до історії чи пошукових запитів) не корелюють із функціональністю, це вагомий сигнал відмовитися від інсталяції. Корисна звичка — періодично переглядати «Permissions and Data» в about:addons і видаляти аддони з надмірними правами.
ІТ-відділам і командам безпеки доцільно оновити політики керування розширеннями: включити перевірку поля data_collection_permissions у процес рев’ю, визначити допустимі категорії даних для різних ролей, формувати «білі списки» перевірених аддонів та автоматизувати інвентаризацію через корпоративні політики браузера Firefox. Орієнтуйтеся на принципи data minimization і least privilege.
Вплив на екосистему Firefox: довіра й стійкість
Ініціатива посилює довіру до платформи, стимулює розробників уважніше проєктувати доступ і збір даних, а користувачам надає зрозумілу «рамку ризиків». У довгостроковій перспективі це зменшує поверхню атак і ймовірність прихованого профілювання, підвищуючи загальну кіберстійкість екосистеми. Рекомендовано відстежувати оновлення документації Mozilla та зміни правил модерації, аби адаптація пройшла без збоїв.
Mozilla фактично стандартизує «паспорт конфіденційності» для кожного аддона. Скористайтеся моментом: перегляньте встановлені розширення, звірте їхні категорії збору даних із реальними сценаріями використання та приберіть зайве. Адміністраторам варто провести аудит корпоративних браузерів, автоматизувати контроль дозволів і впровадити обов’язкове рев’ю data_collection_permissions для всіх нових інсталяцій. Прозорість працює лише тоді, коли ми нею користуємося.
