Video: Stay a step ahead of hackers with Firefox Monitor (Oktober 2024)
Ali je Firefox bolj varen spletni brskalnik kot Microsoftov Internet Explorer? Odgovor je lahko pritrdilen, vendar so vprašanja bolj zapletena, kot se večina ljudi zaveda. Pravzaprav ima Firefox svoj delež varnostnih težav, pred napadom v resničnem svetu pa ga je verjetno do zdaj rešil le enodmeren tržni delež.
Konec februarja je organizacija Mozilla izdala prvo posodobitev za Firefox, različice 1.0.1 (www.getfirefox.com). V novi različici ni nobenih novih opomb, vendar je v različici 1.0 odpravil 17 dokumentiranih ranljivosti. (www.mozilla.org/projects/security/known-vulneraibility.html). Najbolj znana je bila napaka v ponarejanju URL-jev, ki vključuje URL-je z internacionaliziranimi imeni domen (IDN - www.mozilla.org/security/announce/mfsa2005-29.html). V bistvu bi napadalec lahko postavil spletno mesto, ki je imelo za zunanje nastope isti URL kot drugo spletno mesto (na primer www.ebay.com), v resnici pa bi ime domene bilo v mednarodnem naboru znakov in ne v angleščini. (Mozilla dejansko ni odpravila te težave, kar je manj napake v programu kot težava s celotnim pristopom k IDN; namesto različice 1.0.1 privzeto onemogoči podporo IDN.)
Verjetno še niste brali o nobeni od teh napak pred posodobitvijo. To je zato, ker je šele pred kratkim organizacija Mozilla začela izdajati varnostne nasvete, ki jih Microsoft izdaja vsak mesec (glejte www.mozilla.org/security/announce). Mozilla večinoma teh hroščev ni skrivala pred objavo nasvetov, vendar jih tudi ni objavila. Če veste, kje in kako iskati, lahko dobite boljšo sliko varnostnih (in drugih) napak v Firefoxu in drugih projektih Mozilla na strani bugzilla.mozilla.org, uradne baze napak za razvoj Mozille. Toda tudi tu organizacija ni povsem odprta glede napak v varnosti; Ko se poročajo o novih, so vnosi v Bugzilla na splošno zasebni za nekaj časa, medtem ko so preiskani in določeni.
In za razliko od Microsofta, ko Mozilla odpravi napako, uporabnikom ne izda popravka. Če se želite držati programov na ravni izdaje, je vaša edina možnost počakati na naslednjo splošno izdajo; nadgradnja na različico 1.0.1 z 1.0 je trajala približno 3, 5 mesece. Lahko namestite vmesno sestavo programa (nočne različice so na voljo na ftp.mozilla. Org / pub / mozilla.org / firefox / nightly / najnovejši trunk /), vendar to niso uradne različice izdaje in jih morate pričakovati imeti druge hrošče; kolikor boste dobili podporo za Firefox, jo bo spodkopala vaša uporaba vmesne gradnje.
V Firefoxu za Windows lahko nastavite možnosti v orodjih | Možnosti | -Advanced- | Posodobitev programske opreme za občasno preverjanje strežnikov Firefox za posodobitve programa. Našel bo različico 1.0.1, vendar bo vse, kar morate storiti, prenesti celoten program in začeti namestitveni program. V različici Linux lahko posodabljate samo razširitve in teme, ne pa programske kode.
In varnostne težave v različici 1.0.1 že obstajajo, četudi še ni nasvetov za njih. Na primer na napravi za več uporabnikov, kot je sistem Linux, če en uporabnik, ki se izvaja kot root, zažene Firefox, drugi uporabnik, ki ni koren, pa začne Firefox, ta nekorijenski uporabniški primerek Firefoxa pridobi korenske privilegije (bugzilla.mozilla.org/ show_ bug.cgi? id = 247412).
- Mozilla Firefox 1.0 Mozilla Firefox 1.0
- Najboljših 15 razširitev Firefoxa Top 15 razširitev Firefoxa
- Firefox pridobi podporo Yahoo Toolbar Firefox pridobi podporo Yahoo Toolbar
- Firefox dobi večjo varnostno preobrazbo Firefox dobi večjo varnostno preobrazbo
Poleg tega je uporabniku težko in neopazno pregledati potrdilo o podpisani razširitvi ob namestitvenem času (bugzilla.mozilla.org/show_bug.cgi?id=278629), tako da se lahko spuferja enostavno umakne, če se pretvarja, da je zaupanja vreden vir. Obstajajo tudi številne napake v strmoglavljenju, na primer bugzilla.mozilla.org/show_ bug.cgi? Id = 263609, ki pogosto kažejo na izkoriščeno ranljivost v zakulisju.
Končno sta podjetji za preprečevanje vohunske programske opreme Webroot in Sunbelt Software povedali, da pričakujeta, da se bo špijunska programska oprema, specifična za Firefox, začela prikazovati še letos, in če se bo tržni delež brskalnika še povečeval, je enostavno razbrati, zakaj bi to. Zato ne pozabite posodobiti in ne počivajte na svojih Firefox lovorikah. Niste brez varnostnih težav, imate samo drugačne.
Larry Seltzer, ki je pogost sodelavec revije PC, piše glasilo Security Watch za pcmag.com.
