開(kāi)源Mozilla Firefox Web瀏覽器現(xiàn)處在現(xiàn)代IT安全的最前線。畢竟，這款Web瀏覽器是許多人訪問(wèn)互聯(lián)網(wǎng)的常用渠道，因而常常也是攻擊目標(biāo)。

近些年來(lái)，Mozilla在確保這款瀏覽器的安全方面取得了相當(dāng)大的進(jìn)展，還有一份路線圖，希望在將來(lái)讓它變得更安全。

Mozilla的火狐工程技術(shù)副總裁Johnathan Nightingale告訴媒體：“我們所做的許多安全工作并不是銀彈式(silver bullet)解決方案。實(shí)際上是認(rèn)真考慮人們上網(wǎng)時(shí)在哪里遇到了安全問(wèn)題，哪里存在危險(xiǎn)，我們?cè)鯓硬拍芊婪恫⑾切╋L(fēng)險(xiǎn)。”

插件安全

對(duì)Nightingale來(lái)說(shuō)，他認(rèn)為網(wǎng)上最大的安全漏洞來(lái)源是Java和Flash之類(lèi)的插件。雖然Mozilla并不直接負(fù)責(zé)插件代碼，但是它通過(guò)采取許多方法，有助于為用戶確保安全，遠(yuǎn)離惡意插件的活動(dòng)。

早在2010年發(fā)布的火狐3.6版本中，Mozilla就開(kāi)始致力于讓插件采用獨(dú)立進(jìn)程。之所以使用獨(dú)立進(jìn)程的插件，是為了讓瀏覽器遠(yuǎn)離穩(wěn)定性方面的風(fēng)險(xiǎn)，避免受到不穩(wěn)定插件的影響。就算插件崩潰了，也不會(huì)再引起整個(gè)瀏覽器癱瘓。

為了確保插件的穩(wěn)定性和安全性，仍有更多的工作要做，而Mozilla的“點(diǎn)擊運(yùn)行”(click-to-play)插件方法現(xiàn)在給這方面帶來(lái)了影響。有了點(diǎn)擊運(yùn)行機(jī)制，插件就不會(huì)自動(dòng)在默認(rèn)情況下啟動(dòng)。

Nightingale說(shuō)：“就許多插件而言，我們默認(rèn)情況下這么認(rèn)為，如果用戶想與插件內(nèi)容進(jìn)行互動(dòng)，他們可以明確激活插件。不會(huì)再有任何潛伏內(nèi)容駐留在頁(yè)面的后臺(tái);如果是惡意內(nèi)容，這些潛伏內(nèi)容還能攻擊用戶，甚至用不著用戶與它進(jìn)行互動(dòng)。”

阻止混合內(nèi)容

如今互聯(lián)網(wǎng)上的一個(gè)常見(jiàn)的安全風(fēng)險(xiǎn)是，當(dāng)普通的HTTP內(nèi)容與加密頁(yè)面上的HTTPS安全內(nèi)容混合在一起時(shí)。風(fēng)險(xiǎn)在于，HTTP內(nèi)容有可能危及本該安全的內(nèi)容的安全性。

Nightingale說(shuō)：“我們有一個(gè)用戶界面，如今正在進(jìn)行測(cè)試，以便在默認(rèn)情況下阻止混合內(nèi)容，但是萬(wàn)一內(nèi)容看起來(lái)出了問(wèn)題，又為用戶提供了一些選項(xiàng)。”

整個(gè)SSL一向是Mozill關(guān)注的焦點(diǎn)。

Mozilla開(kāi)展的其中一項(xiàng)工作就是針對(duì)SSL證書(shū)鎖定。借助證書(shū)鎖定機(jī)制，火狐用戶遇到的網(wǎng)站擁有SSL證書(shū)，而不是它應(yīng)該擁有的證書(shū)后，就會(huì)顯示警示信息。Mozilla還在HSTS協(xié)議(HTTP嚴(yán)格傳輸安全)方面開(kāi)展了工作，該協(xié)議讓網(wǎng)站能夠總是明確要求通過(guò)SSL進(jìn)行連接。

Nightingale說(shuō)：“我們會(huì)不斷完善那些技術(shù)，為每個(gè)人改善互聯(lián)網(wǎng)安全狀況。”

釋放后使用

所有現(xiàn)代瀏覽器普遍存在的最常見(jiàn)的軟件安全漏洞之一是，釋放后使用(use-after-free)的代碼安全漏洞。借助釋放后使用的安全漏洞，攻擊者就有可能利用已分配內(nèi)存來(lái)發(fā)動(dòng)攻擊。

Nightingale說(shuō)：“只要人們用C和C++編寫(xiě)代碼，就會(huì)存在內(nèi)存安全問(wèn)題，可以這么說(shuō)。Mozilla有一些相當(dāng)穩(wěn)健的防御機(jī)制，可以及早發(fā)現(xiàn)許多內(nèi)存安全問(wèn)題，但內(nèi)存管理卻是計(jì)算機(jī)業(yè)界的難題之一。”

話雖如此，Mozilla的確開(kāi)展有一個(gè)日常性項(xiàng)目，將代碼由C/C++改為像JavaScript這樣的管理型代碼系統(tǒng)。

Nightingale解釋：“JavaScript并沒(méi)有釋放后使用的錯(cuò)誤，也沒(méi)有其他內(nèi)存管理方面的錯(cuò)誤，原因就在于它是一門(mén)內(nèi)存受管理的語(yǔ)言。所以，這為你提供了穩(wěn)健的防御效果，可以防范一大批的安全問(wèn)題。”

原文地址：http://www.esecurityplanet.com/browser-security/whats-next-for-mozilla-firefox-security.html