Michael Cobb是認證信息系統(tǒng)安全架構(gòu)專家(CISSP-ISSAP)，知名的安全作家，具有十多年豐富的IT行業(yè)經(jīng)驗，并且還從事過十六年的金融行業(yè)。他是Cobweb Applications公司的創(chuàng)始人兼常務董事，該公司主要提供IT培訓，以及數(shù)據(jù)安全和分析的支持。Michael還合著過IIS Security一書，并為領先的IT出版物撰寫過無數(shù)科技文章。此外，Michael還是微軟認證數(shù)據(jù)庫系統(tǒng)管理員和微軟認證專家。

雖然“圍墻花園”(walled garden)可以幫助保護Web瀏覽器，但并非所有人都認為這是個好用的功能。

在新推出的Firefox中Mozilla中包含“圍墻花園”。圍墻花園如何保護Web瀏覽器?為什么圍墻花園并不被視為是好方法?

[[147624]]

Michael Cobb：為了提高瀏覽器的普及度以及加強用戶忠誠度，供應商通常采用的一種方法是鼓勵獨立開發(fā)人員創(chuàng)建加載項、插件及其他擴展來提供額外的功能，并允許用戶自定義其瀏覽器，以讓瀏覽器以最適合他們的方式來運行。但這種做法的不足之處是，糟糕編寫的插件會影響瀏覽器以及系統(tǒng)的穩(wěn)定性，而惡意插件會讓個人信息面臨風險。

Mozilla插件平臺向來對開發(fā)人員非常開放。開發(fā)人員不僅能夠以激進和創(chuàng)新的方式來更改Firefox，他們還可完全自由地從其自己的網(wǎng)站分發(fā)其附加組件，而不一定要通過AMO—Mozilla附加組件網(wǎng)站資料庫。這給真正的開發(fā)人員提供了巨大的靈活性，但也讓惡意攻擊者可以利用Firefox用戶。例如，現(xiàn)在有些惡意擴展已經(jīng)很普遍，它們可在未經(jīng)用戶同意的情況下更改主頁和搜索設置，還可以注入廣告到網(wǎng)頁或甚至注入惡意腳本到社交媒體網(wǎng)站。

Mozilla已經(jīng)嘗試執(zhí)行插件指導準則，插件創(chuàng)建者必須遵守這些準則，遠程禁用不兼容的擴展。大多數(shù)違反這些準則的擴展都是通過在AMO之外來分發(fā)，而追蹤這些擴展幾乎不太可能，所以Mozilla決定需要改變Firefox插件開發(fā)以提高安全性和性能。

當Firefox 39版本在今年晚些時候發(fā)布時，Mozilla將要求所有插件經(jīng)過AMO審查和代碼簽名，即使是在Mozilla的AMO外自托管的插件。雖然開發(fā)人員不會被迫只可通過AMO分發(fā)其擴展，但他們必須提交其插件進行審查，并獲得簽名。在過渡期結(jié)束后，用戶將無法在Firefox正式版或測試版中安裝未簽名的擴展，并且，不會有任何偏好或命令行選項來禁用此配置。目前該公司還沒有透露那些將不會被公開分發(fā)的插件(例如為內(nèi)部使用而開發(fā)的插件)將如何處理。

在軟件開發(fā)過程中，功能與安全的平衡一直是難題，對于瀏覽器尤其是如此，畢竟瀏覽器是訪問互聯(lián)網(wǎng)以及訪問未知和不受信任來源內(nèi)容的最常用界面。Firefox插件執(zhí)行時可完全控制瀏覽器，與Chrome和Safari不同，沒有任何障礙阻止它們彼此隔離或與瀏覽器隔離;這是讓開發(fā)人員實現(xiàn)強大水平定制化和附加功能的原因—既是優(yōu)點也是缺點。新的審查過程可能會在一定程度上提高安全性，但這在很大程度上依賴于自動化和人類審查者找到可能隱藏的攻擊向量，鑒于提交的數(shù)量以及現(xiàn)代惡意軟件的復雜性，這將是艱巨的任務。

很多Firefox粉絲對這些擬議的改變很失望，因為他們將無法允許安裝未簽名的擴展，即使用戶理解這其中的風險。通過迫使開發(fā)人員經(jīng)過漫長的審查程序以讓其擴展獲得批準或發(fā)布重要安全更新，Mozilla可能面臨失去開發(fā)人員青睞的風險，如果他們不能及時修復漏洞，也可能降低擴展的安全性。

Firefox可用插件的數(shù)量是其最大的優(yōu)勢之一，而現(xiàn)在開發(fā)人員需要通過額外的步驟來讓其插件可用，這可能會減少愿意支持Firefox的開發(fā)人員的數(shù)量。這個所謂的圍墻花園可能幫助保護用戶抵御惡意插件，但它也有缺點，瀏覽器供應商需要在確保插件生態(tài)系統(tǒng)繼續(xù)蓬勃發(fā)展與保持用戶安全之間做好平衡。