Un browser sicuro è un browser senza plugin. Questo è l’obiettivo che intende raggiungere Mozilla con la funzionalità Click to Play. A partire da Firefox 30, gli utenti dovranno attivare i plugin manualmente, in quanto verranno disattivati per default. L’unica eccezione sarà Flash Player. Attualmente la feature è attiva solo per i plugin Java, ritenuti i più pericolosi per la sicurezza. L’estensione della funzionalità permetterà inoltre di incrementare le prestazioni durante l’avvio e la navigazione.
Mozilla cerca di incoraggiare gli autori dei siti web ad eliminare l’uso dei plugin. Oggi esistono diverse tecnologie che possono sostituirli senza problema (ad esempio, emscripten e asm.js), senza alterare l’esperienza d’uso. I plugin rappresentano un “costo” per gli utenti Firefox, in quanto incidono negativamente sulle performance, provocano crash del browser e lasciano aperte le porte per l’ingresso di malware. Mozilla però riconosce che non sempre è possibile eliminarli, quindi ha predisposto una whitelist temporanea.
Entro il 31 marzo, gli sviluppatori dovranno chiedere a Mozilla di includere i loro plugin nell’elenco, specificando anche i piani relativi all’abbandono dei plugin basati su NPAPI per passare a soluzioni standard migliori. Se il plugin verrà accettato, Mozilla lo attiverà automaticamente per 4 release consecutive di Firefox per un totale di 30 settimane (24 nel release channel e 6 nel beta channel). In ogni caso, verranno bloccati i plugin insicuri e quelli che provocano gravi problemi di stabilità.
Sebbene sia spesso il bersaglio dei malintenzionati, il Flash Player non rientrerà tra i plugin bloccati dal Click to Play, ma solo se l’utente installa l’ultima versione.