Firefox posílí bezpečnost na několika frontách
V posledních měsících by se mohlo zdát, že otázka rychlosti prohlížeče zastínila otázku bezpečnosti, která se už nejeví natolik žhavým tématem. Situace na poli IT bezpečnosti se ale rozhodně nelepší, takže právě otázka bezpečnosti je stále vysoce aktuální, což potvrzují i novinky chystané do budoucích verzí prohlížeče Mozilla Firefox.
Mozilla Corporation aktuálně vyvíjí a testuje novou funkci zvanou Content Security Policy (CSP), která by mohla uživatele v budoucnu chránit před útoky ze strany záškodnických kódu přímo ve webových stránkách. Stále častěji se totiž stává, že záškodnickým kódem jsou kompromitovány i jinak legitimní weby, takže už neplatí logika „nenavštěvuji stránky s pornem nebo warezem, jsem v bezpečí“.
CSP se rýsuje jako komplexní řešení útoků typu XSS nebo clickjacking. Nepůjde však o plně automatizovanou ochranu. V zásadě jde o framework vyžadující aktivní spolupráci s tvůrci webových stránek a webových aplikací. Je tedy otázkou, jestli se v budoucnu dovede prosadit. Dopomoci by k tomu mohla širší podpora CSP ze strany i konkurenčních prohlížečů. Brandon Sterne z Mozilla Corporation tvrdí, že odezva od jejich tvůrců je pozitivní.
Každopádně mnohem aktuálnějším prvkem pro posílení bezpečnosti je již dříve avizovaná kontrola používaných verzí zásuvných modulů. Jejich zastaralé verze s často kritickými bezpečnostními chybami se totiž ukazují jako velké riziko. Vývojáři z Mozilla Corporation tedy integrují do Správce doplňků v sekci s plug-iny i upozornění na eventuální zastaralost zásuvných modulů. Uživatel pak bude odkázán na web, kde si může stáhnout aktuální verzi.
Tato kontrola se nebude soustředit jenom na Flash jako kampaň známá z aktuálního Firefoxu 3.5.3, která je spíše takovým prvním symbolickým výstřelem, než nějakým sofistikovaným řešením. Rizikem je totiž také třeba Java, Silverlight nebo plug-iny externích programů jako je Adobe Reader, Apple Quick Time, Windows Media Player apod. Kontrola už je integrována ve vývojových verzích Firefoxu 3.7, se kterým se počítá do první poloviny příštího roku. Objeví se však již letos ve Firefoxu 3.6.
Mozilla Corporation nadále pracuje i na samostatném diagnostickém webu, jehož testovací verzi si již můžete vyzkoušet.
Zdroje: ComputerWorld.com, Mozilla Security Blog, Mozilla.cz
sedmé letošní
