В 2012 году Mozilla Foundation сосредоточится на повышении безопасности Firefox

Mozilla Foundation опубликовала свои планы об изменениях в системе безопасности браузера Mozilla Firefox, которые будут реализованы в 2012 году. По словам разработчиков, они планируют значительно переделать модули, отвечающие за безопасность, а также внедрить поддержку ряда внешних источников безопасности.

На первом этапе разработчики планируют сосредоточиться на создании так называемой «песочницы», в которой будет исполняться потенциально опасный код. «Песочница» будет похожа на свой аналог, уже реализованный в браузере Google Chrome, однако с несколькими существенными отличиями. Дело в том, что в архитектуре браузера Mozilla Firefox существует несколько проблем, которые препятствуют реализации концепции «песочницы». В том числе и по этой причине разработчики планируют искать другие способы повышения безопасности работы пользователя в веб-обозревателе.

В частности, планируется улучшить безопасность компиляции кода JavaScript-кода в машинный код (там называемая JIT-компиляция). При выполнении JavaScript-кода возможны атаки вида JIT spraying, которая использует обход защиты ASLR (address space layout randomization). ASLR — это технология, использующаяся в операционных системах для контроля над возникновением разного рода уязвимостей. Еще один возможный тип атак — обход DEP (data execution prevention), запрещающего исполнение кода в областях памяти, предназначенных исключительно для хранения пользовательских данных и данных приложений, что используется для проведения некоторых видов атак злоумышленников.

Еще одной животрепещущей проблемой безопасности браузера являются потенциальные уязвимости в реализации технологии WebGL, в основном, в той ее части, которая касается использования метода междоменной загрузки текстур. При загрузке междоменных текстур используется передача пользовательских данных на сторонний сервер, что может привести к их краже. Некоторое время назад разработчики были вынуждены отключить загрузку междоменных структур из-за потенциальных проблем с безопасностью. Спустя несколько недель ими была разработана некая «обертка», которая позволила частично закрыть путь для злоумышленников, однако в технологии WebGL остается еще множество потенциальных проблем.

Но главное нововведение, которое запланировано к реализации в текущем году, связано не с решением проблем информационной безопасности тех или иных технологий. В связи с тем, что одним из наиболее эффективных способов защиты от атак киберпреступников является использование актуальных версий программного обеспечения, разработчики Mozilla Foundation планируют значительно переработать механизм обновления веб-обозревателя.

В чем именно будут произведены изменения? В текущем году в браузере Mozilla Firefox будет реализовано сразу два механизма обновления, первый из которых будет обновлять приложение в фоновом режиме. Подробнее можно узнать о механизме фонового обновления в нашей новости, опубликованной несколько раньше.

Что же касается второго механизма обновления веб-обозревателя, то он будет касаться доставки до пользователей корректировок и исправлений, которые не требуют изменений в ядре приложения и могут быть применены без полного обновления.

В настоящее время любая найденная ошибка или информационная уязвимость приводит к необходимости выпуска и применения полноценного обновления, при котором загружается полный файл инсталляции, проводится его распаковка, проверка полученных данных, проверка профиля, закрытие приложения для произведения обновления, непосредственно обновление приложения и, наконец, перезапуск веб-обозревателя.

Все вышеописанное требует непосредственного участия пользователя в процессе обновления и занимает значительное время. Между тем, обновления могут быть достаточно мелкими, как например, произошло при выпуске релиза Mozilla Firefox 9.0.1 почти сразу же после выпуска релиза Mozilla Firefox 9. В корректирующем релизе было исправлено всего несколько ошибок, однако их исправление не могло ждать полтора месяца, до выпуска релиза Mozilla Firefox 10.

Для решения данной проблемы и планируется внедрение второго механизма обновления. С его помощью будет производится доставка до пользователей обновлений, в которых исправляются незначительные ошибки, исправления уязвимостей, обновления настроек или каких-либо некритичных файлов. При применении таких корректирующих обновлений нет необходимости производить полную переустановку веб-обозревателя и перезапускать его. Фактически, обновление такого рода будет произведено незаметно для пользователя. Обновление будет применяться при следующем запуске браузера пользователем.

Следует отметить, что первый механизм обновления веб-обозревателя, который требует переустановки приложения, может быть деактивирован в настройках. При этом браузер не будет обновляться автоматически, а пользователь станет получать уведомления о выходе нового релиза Mozilla Firefox.

Разделение обновлений на два вида позволит максимально быстро и удобно для пользователей обеспечивать внесение небольших поправок в приложение, в частности таких, как отзыв скомпрометированных SSL-сертификатов. При этом выпуск полноценного обновления является излишним.