MozillaFirefox安全性接下来会如何?

开源Mozilla Firefox Web浏览器现处在现代IT安全的最前线。毕竟,这款Web浏览器是许多人访问互联网的常用渠道,因而常常也是攻击目标。

成都创新互联专业为企业提供龙州网站建设、龙州做网站、龙州网站设计、龙州网站制作等企业网站建设、网页设计与制作、龙州企业网站模板建站服务,十多年龙州做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。

近些年来,Mozilla在确保这款浏览器的安全方面取得了相当大的进展,还有一份路线图,希望在将来让它变得更安全。

Mozilla的火狐工程技术副总裁Johnathan Nightingale告诉媒体:“我们所做的许多安全工作并不是银弹式(silver bullet)解决方案。实际上是认真考虑人们上网时在哪里遇到了安全问题,哪里存在危险,我们怎样才能防范并消除那些风险。”

插件安全

对Nightingale来说,他认为网上最大的安全漏洞来源是Java和Flash之类的插件。虽然Mozilla并不直接负责插件代码,但是它通过采取许多方法,有助于为用户确保安全,远离恶意插件的活动。

早在2010年发布的火狐3.6版本中,Mozilla就开始致力于让插件采用独立进程。之所以使用独立进程的插件,是为了让浏览器远离稳定性方面的风险,避免受到不稳定插件的影响。就算插件崩溃了,也不会再引起整个浏览器瘫痪。

为了确保插件的稳定性和安全性,仍有更多的工作要做,而Mozilla的“点击运行”(click-to-play)插件方法现在给这方面带来了影响。有了点击运行机制,插件就不会自动在默认情况下启动。

Nightingale说:“就许多插件而言,我们默认情况下这么认为,如果用户想与插件内容进行互动,他们可以明确激活插件。不会再有任何潜伏内容驻留在页面的后台;如果是恶意内容,这些潜伏内容还能攻击用户,甚至用不着用户与它进行互动。”

阻止混合内容

如今互联网上的一个常见的安全风险是,当普通的HTTP内容与加密页面上的HTTPS安全内容混合在一起时。风险在于,HTTP内容有可能危及本该安全的内容的安全性。

Nightingale说:“我们有一个用户界面,如今正在进行测试,以便在默认情况下阻止混合内容,但是万一内容看起来出了问题,又为用户提供了一些选项。”

整个SSL一向是Mozill关注的焦点。

Mozilla开展的其中一项工作就是针对SSL证书锁定。借助证书锁定机制,火狐用户遇到的网站拥有SSL证书,而不是它应该拥有的证书后,就会显示警示信息。Mozilla还在HSTS协议(HTTP严格传输安全)方面开展了工作,该协议让网站能够总是明确要求通过SSL进行连接。

Nightingale说:“我们会不断完善那些技术,为每个人改善互联网安全状况。”

释放后使用

所有现代浏览器普遍存在的最常见的软件安全漏洞之一是,释放后使用(use-after-free)的代码安全漏洞。借助释放后使用的安全漏洞,攻击者就有可能利用已分配内存来发动攻击。

Nightingale说:“只要人们用C和C++编写代码,就会存在内存安全问题,可以这么说。Mozilla有一些相当稳健的防御机制,可以及早发现许多内存安全问题,但内存管理却是计算机业界的难题之一。”

话虽如此,Mozilla的确开展有一个日常性项目,将代码由C/C++改为像JavaScript这样的管理型代码系统。

Nightingale解释:“JavaScript并没有释放后使用的错误,也没有其他内存管理方面的错误,原因就在于它是一门内存受管理的语言。所以,这为你提供了稳健的防御效果,可以防范一大批的安全问题。”

原文地址:http://www.esecurityplanet.com/browser-security/whats-next-for-mozilla-firefox-security.html

网站题目:MozillaFirefox安全性接下来会如何?
文章源于:http://www.mswzjz.com/qtweb/news46/205296.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联