mozilla

Compare Revisions

Application security

Change Revisions

Revision 435785:

Revision 435785 by ptheriault on

Revision 436025:

Revision 436025 by ptheriault on

Title:
Application security
Application security
Slug:
Mozilla/Firefox_OS/Security/Application_security
Mozilla/Firefox_OS/Security/Application_security
Tags:
"Mobile", "Security", "Apps", "Firefox OS"
"Mobile", "Security", "Apps", "Firefox OS"
Content:

Revision 435785
Revision 436025
n84      Applications can be granted additional privileges on top ofn84      Applications can be granted additional privileges on top of
> the ones granted to normal websites. By default an application h> the ones granted to normal websites. By default an application h
>as no permissions on top of the ones normal webpages have. In ord>as the same permissions as normal webpages. In order to get addit
>er to get additional permissions, the first step is for the app t>ional permissions, the first step is for the app to enumerate the
>o enumerate the additional permissions it wants in the applicatio> additional permissions it wants in the application manifest.
>n manifest. 
n90      For each additional permission that an app wants, the manifn90      For each additional permission that an app wants, the manif
>est has to explicitly enumerate that permission along with a huma>est must enumerate that permission in their manifest along with a
>n-readable description of why the app wants access to that permis> human-readable description of why the app wants access to that p
>sion. This description will be surfaced at various points in the >ermission. For example, if an app wants to use the <a href="/en-U
>UI, and is also used when the app is reviewed. For further detail>S/docs/Web/API/window.navigator.geolocation" title="/en-US/docs/W
> on manifests, see <a href="/en-US/docs/Apps/Manifest" title="App>eb/API/window.navigator.geolocation">navigator.geolocation</a> AP
>s/Manifest">App manifest</a>.>I, in must include the following in their manifest:
91    </p>
92    <pre class="brush: html">
93"permissions": {
94  "geolocation":{ 
95<code class="language-js"><span class="token string">    "descrip
 >tion"</span><span class="token punctuation">:</span> <span class=
 >"token string">"Required for autocompletion in the share screen"<
 >/span><span class="token punctuation">,</span></code>  
96  }
97},
98</pre>
99    <p>
100      This allows the app to then prompt for the geolocation perm
 >ission, in the same way that a web page normally would.&nbsp; For
 > further detail on manifests, see <a href="/en-US/docs/Apps/Manif
 >est" title="Apps/Manifest">App manifest</a>.
101    </p>
102    <p>
103      Note: Currently permissions usage intentions are not expose
 >d to the user - see <a href="https://bugzilla.mozilla.org/show_bu
 >g.cgi?id=823385" title="https://bugzilla.mozilla.org/show_bug.cgi
 >?id=823385">bug 823385</a>.
n96      &nbsp;n109      When permissions are requested in the manifest, the permiss
 >ion is either set to 'allow' or 'prompt' depending on the permiss
 >ions. Allow permissions are granted by virtue of being declared i
 >n the manifest with no further approval needed. For 'prompt' perm
 >issions, the user is prompted the first time the user access the 
 >related API, and has to make a choice prior to the API being gran
 >ted. In general, Firefox OS only prompts users for permissions wh
 >ich have a privacy impact, and it is reasonable for the user to u
 >nderstand what they are being asked. For example, access to conta
 >cts is prompted, but access to make a raw TCP connection is impli
 >citly granted since it is not reasonable for a user to understand
 > the security implications of allowing this permissions. Use of '
 >allow' permissions is reviewed as part of Marketplace security re
 >view process to ensure users are protected.
n101    <h2 id=".C2.A0">n114    <p>
102      &nbsp;115      Users are allowed to change their mind about 'prompt' permi
 >ssions at any time, and can revoke these permissions via the Fire
 >fox OS settings app. Allow permissions are not user configurable 
 >however.
103    </h2>116    </p>
t173    <h2>t186    <h2 id="App_Security_Summary">

Back to History