Mozilla Firefox安全性接下来会如何?

译文
安全
Mozilla会即将推出什么新的招术为这款开源浏览器保驾护航?

开源Mozilla Firefox Web浏览器现处在现代IT安全的最前线。毕竟,这款Web浏览器是许多人访问互联网的常用渠道,因而常常也是攻击目标。

Mozilla Firefox安全性接下来会如何?

近些年来,Mozilla在确保这款浏览器的安全方面取得了相当大的进展,还有一份路线图,希望在将来让它变得更安全。

Mozilla的火狐工程技术副总裁Johnathan Nightingale告诉媒体:“我们所做的许多安全工作并不是银弹式(silver bullet)解决方案。实际上是认真考虑人们上网时在哪里遇到了安全问题,哪里存在危险,我们怎样才能防范并消除那些风险。”

插件安全

对Nightingale来说,他认为网上最大的安全漏洞来源是Java和Flash之类的插件。虽然Mozilla并不直接负责插件代码,但是它通过采取许多方法,有助于为用户确保安全,远离恶意插件的活动。

早在2010年发布的火狐3.6版本中,Mozilla就开始致力于让插件采用独立进程。之所以使用独立进程的插件,是为了让浏览器远离稳定性方面的风险,避免受到不稳定插件的影响。就算插件崩溃了,也不会再引起整个浏览器瘫痪。

为了确保插件的稳定性和安全性,仍有更多的工作要做,而Mozilla的“点击运行”(click-to-play)插件方法现在给这方面带来了影响。有了点击运行机制,插件就不会自动在默认情况下启动。

Nightingale说:“就许多插件而言,我们默认情况下这么认为,如果用户想与插件内容进行互动,他们可以明确激活插件。不会再有任何潜伏内容驻留在页面的后台;如果是恶意内容,这些潜伏内容还能攻击用户,甚至用不着用户与它进行互动。”

阻止混合内容

如今互联网上的一个常见的安全风险是,当普通的HTTP内容与加密页面上的HTTPS安全内容混合在一起时。风险在于,HTTP内容有可能危及本该安全的内容的安全性。

Nightingale说:“我们有一个用户界面,如今正在进行测试,以便在默认情况下阻止混合内容,但是万一内容看起来出了问题,又为用户提供了一些选项。”

整个SSL一向是Mozill关注的焦点。

Mozilla开展的其中一项工作就是针对SSL证书锁定。借助证书锁定机制,火狐用户遇到的网站拥有SSL证书,而不是它应该拥有的证书后,就会显示警示信息。Mozilla还在HSTS协议(HTTP严格传输安全)方面开展了工作,该协议让网站能够总是明确要求通过SSL进行连接。

Nightingale说:“我们会不断完善那些技术,为每个人改善互联网安全状况。”

释放后使用

所有现代浏览器普遍存在的最常见的软件安全漏洞之一是,释放后使用(use-after-free)的代码安全漏洞。借助释放后使用的安全漏洞,攻击者就有可能利用已分配内存来发动攻击。

Nightingale说:“只要人们用C和C++编写代码,就会存在内存安全问题,可以这么说。Mozilla有一些相当稳健的防御机制,可以及早发现许多内存安全问题,但内存管理却是计算机业界的难题之一。”

话虽如此,Mozilla的确开展有一个日常性项目,将代码由C/C++改为像JavaScript这样的管理型代码系统。

Nightingale解释:“JavaScript并没有释放后使用的错误,也没有其他内存管理方面的错误,原因就在于它是一门内存受管理的语言。所以,这为你提供了稳健的防御效果,可以防范一大批的安全问题。”

原文地址:http://www.esecurityplanet.com/browser-security/whats-next-for-mozilla-firefox-security.html

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2020-08-25 10:41:02

TikTok程序禁令

2020-02-07 09:49:23

职场企业疫情

2014-08-06 14:09:43

2024-09-05 10:09:04

2021-01-26 14:07:25

比特币加密货币区块链

2016-11-04 20:49:57

2018-02-09 16:01:11

2022-04-24 10:23:27

人工智能机器学习神经网络

2019-07-15 07:01:30

物联网供应链IOT

2022-08-18 16:01:22

数据泄露网络攻击

2014-08-06 11:03:48

编程语言

2020-07-28 07:58:06

云计算PaaSIaaS

2013-02-20 10:03:12

虚拟化

2019-03-28 11:01:12

云计算雾计算边缘计算

2015-10-26 15:45:33

CIBN

2020-02-13 16:50:19

人工智能机器学习技术

2009-08-14 17:07:04

2022-10-10 13:22:38

物联网安全隐私

2021-10-19 06:05:20

网站安全网络威胁网络攻击

2009-11-30 09:41:38

点赞
收藏

51CTO技术栈公众号