Firefox 4 più sicuro, Mozilla gli ha messo l'armatura

di Manolo De Agostini, 02 agosto, 2010 07:04

In Firefox 4 la nuova Content Security Policy assicurerà maggiore sicurezza contro le minacce della Rete. L'azienda ha inoltre risolto un bug decennale e lavora sodo per rendere il browser sempre meno perforabile.

Firefox 4 sarà sicuramente un browser più sicuro della versione 3.6. Brandon Sterne, Security Program Manager di Mozilla, ha svelato alla conferenza Black Hat come la fondazione intende affrontare il problema sicurezza con il nuovo software. Anzitutto è stata risolta, con la versione Beta, una vulnerabilità vecchia di 10 anni, che riguarda tutti i browser ed era insita nei CSS. L'exploit permetteva a codice maligno di accedere alla cronologia e manipolare i collegamenti per apparenza e stile. "Ciò che ha reso il bug così difficile da riparare è che la soluzione più semplice, impedire la manipolazione dello stile di tutti i link, sarebbe stato come gettare il bambino con l'acqua sporca", ha dichiarato il diretto dello sviluppo di Firefox, Jonathan Nightingale. "Cambiare il colore ai collegamenti già visitati è una delle funzionalità più usate nel web e sarebbe catastrofico impedirla".

David Baron ha spiegato come risolvere il problema con un approccio su tre fronti che si focalizza sull'utente anziché il sito web. "La sua soluzione  limita quale aspetto dei link può essere modificato per colorarsi, poi mente attraverso JavaScript in modo che se la pagina interroga il link e riporta come se non fosse stato visitato, ciò che disegna il motore di Mozilla è quello corretto, che sia stato visitato o no", scrive Seth Rosenblatt su Cnet. Questa soluzione limita anche la quantità di calcoli che il motore di rendering deve fare e permette di focalizzarsi sui contenuti. Il primo browser a contenere questo fix è Safari 5.0.1 (Safari 5.0.1, nel 2010 Apple scopre le estensioni).

Un altro bug risolto con Firefox 4 beta è l'exploit "XSS primary scripting". Un problema che la nuova Content Security Policy risolve alla radice. "Un sito web è un documento che ha in sé differenti tipi di risorse (testo, video o audio) trattate con gli stessi privilegi. Quindi è difficile per il browser sapere che cosa è stato fatto consapevolmente o se si tratta di codice maligno. Con la Content Security Policy abbiamo spento tutto di default, forzando il sito web ad attivarli uno alla volta", ha dichiarato Brandon Sterne.

Questo codice, parte della nuova Content Security Policy di Firefox 4, dovrebbe rendere il browser più sicuro.

Il CSP non richiede un grande lavoro agli sviluppatori ed è progettato per essere retrocompatibile con i siti web esistenti. Inoltre, può essere implementato a livello sito o solo su pagine specifiche all'interno del sito, integrando la relativa linea di codice nell'header. Ci sono pericoli che riguardano l'HTML5? Secondo Mozilla ogni nuova tecnologia può aprire la strada a minacce per la sicurezza. Gli shader, implementati in webGL e OpenGL potrebbero essere vettori per nuovi attacchi. Mozilla sta lavorando per assicurarsi di avere meno problemi possibili.

Mozilla cambierà anche l'approccio agli aggiornamenti. Alcuni aggiornamenti verranno presentati e si avrà la possibilità di applicarli o meno. Altri, verranno invece installati per la sicurezza di tutti in maniera silenziosa.  Nightingale ha dichiarato che questi aggiornamenti "saranno applicati prima alla versione Windows perché è il sistema operativo più a rischio sul fronte degli attacchi.

Mozilla sta lavorando duramente anche sulla geolocalizzazione HTML5 e soprattutto a come difendere la privacy degli utenti. "Noi non invieremo informazioni private e se non lo faremo noi, non lo faranno gli altri. Stiamo provando a inserire più controlli possibili nelle mani degli utenti". Anche il servizio di sincronia dei dati, Firefox Sync (in precedenza si chiamava Weave), codificherà tutti i dati prima di inviarli alla cloud. Le informazioni saranno inaccessibili senza la password impostata dall'utente, che sarà archiviata localmente.

Firefox 4 farà progressi anche nella separazione dei processi, come i plug-in, dai componenti vitali per la stabilità del browser. Mozilla prevede che questa integrazione avrà benefici ancora più evidenti nel settore mobile, in quanto l'isolamento dei processi permette di non intaccare la reattività dell'interfaccia grafica, un aspetto ancor più cruciale sugli smartphone.

Infine Mozilla è intervenuta anche sul tema della divulgazione delle vulnerabilità, un aspetto che nel mondo della sicurezza sta tenendo banco più del solito (qui i dettagli: Autocompletamento browser, porta per gli hacker). "Sarebbe sempre meglio che le persone lavorassero con noi per rendere Internet un posto migliore, piuttosto che non dirci nulla. Una volta che il bug è risolto, lo rendiamo noto e condividiamo come è stato risolto", ha dichiarato Nightingale. Una posizione più vicina a Microsoft che a quella di Google, chi l'avrebbe mai detto.

Ti potrebbe interessare anche:

 

Notizie dal web

 

Commenti dei lettori (20)

1/2 avanti   
Hexxen 02/08/2010 07:32
0
se tutto questo corrisponde ad un ottima velocità firefox 4 sarà un esempio per gli altri browser
riddik1989 02/08/2010 07:46
0
Ma non ho mai capito una cosa, fanno un buon browser, lo aggiornano, migliorano ecc.... e poi lo distribuiscono gratis, ma dov' è che ci guadagnano? perchè sicuramente ci guadagnano per fare un così buon servizio, ma non ho capito come...
tore01 02/08/2010 08:47
0
Firefox con la 4.0 sarà il browser migliore in assoluto.
Iena 02/08/2010 09:16
0

 Originariamente inviata da tore01

Firefox con la 4.0 sarà il browser migliore in assoluto.



uso la 4.0b2 e devo dire che è molto stabile per essere una beta, inoltre la velocità di apertura delle pagine rispetto alla 3.6 è migliorata di un bel pò.
Sbabba 02/08/2010 09:37
0

 Originariamente inviata da riddik1989

Ma non ho mai capito una cosa, fanno un buon browser, lo aggiornano, migliorano ecc.... e poi lo distribuiscono gratis, ma dov' è che ci guadagnano? perchè sicuramente ci guadagnano per fare un così buon servizio, ma non ho capito come...



La mozilla foundation prende grandissimi finanziamenti da Google; non mi ricordo in che percentuale, ma se non erro nel suo budget più del 60% delle entrate derivano da donazioni di Google. Poi c'è il merchandise e ci saranno entrate anche da parte di altre aziende, interessate allo sviluppo di un browser veloce, sicuro etc..etc.. e immagino che prendano anche qualche contributo dall'unione europea e da governi locali.
Giuliano.Peraz 02/08/2010 09:40
0

 Originariamente inviata da riddik1989

Ma non ho mai capito una cosa, fanno un buon browser, lo aggiornano, migliorano ecc.... e poi lo distribuiscono gratis, ma dov' è che ci guadagnano? perchè sicuramente ci guadagnano per fare un così buon servizio, ma non ho capito come...


Non ci guadagnano, tirano avanti con donazioni di utenti e aziende private come Google. C'è un accordo con Mozilla per ricevere soldi per avere la scelta di default del motore di ricerca del browser.
riddik1989 02/08/2010 09:55
0
Capito, grazie per le risposte
stefano89 02/08/2010 10:18
0
10 anni?Ma firefox non correggeva i bug in 3 nanosecondi perchè open?
E lo dico da utilizzatore di firefox e linux eh...
DjToffy 02/08/2010 10:59
0

 Originariamente inviata da stefano89

10 anni?Ma firefox non correggeva i bug in 3 nanosecondi perchè open?
E lo dico da utilizzatore di firefox e linux eh...



basta leggere tutto l'articolo e si capisce...
LeChuck 02/08/2010 11:13
0

 Originariamente inviata da stefano89

10 anni?Ma firefox non correggeva i bug in 3 nanosecondi perchè open?
E lo dico da utilizzatore di firefox e linux eh...



Hai probabilmente letto frettolosamente la frase.

"Anzitutto è stata risolta, con la versione Beta, una vulnerabilità vecchia di 10 anni, che riguarda tutti i browser ed era insita nei CSS"

E' un problema di tutti i browser e se ne era parlato qualche giorno fa su un'altra news.


La mia domanda invece è: ma non avevano detto che anche FF avrebbe integrato le SandBox? O ho capito male io?
1/2 avanti   
Devi essere collegato scrivere un commento!

Accesso utenti

Nome utente:
Password:

Domande e Risposte

Le Guide di Tom's Hardware

Maker Faire Rome 2014

 
Segui Tom's Hardware!
Informazioni su Tom's Hardware
powered by
Powerd by Aruba Cloud Powerd by Intel Powerd by Dell

Copyright © 2014 - 3Labs Srl - A Purch Company. Tutti i diritti riservati.
P.Iva 04146420965 - Testata registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013
Clicca per i dettagli