Firefox 4 più sicuro, Mozilla gli ha messo l'armatura

In Firefox 4 la nuova Content Security Policy assicurerà maggiore sicurezza contro le minacce della Rete. L'azienda ha inoltre risolto un bug decennale e lavora sodo per rendere il browser sempre meno perforabile.

Avatar di Manolo De Agostini

a cura di Manolo De Agostini

Firefox 4 sarà sicuramente un browser più sicuro della versione 3.6. Brandon Sterne, Security Program Manager di Mozilla, ha svelato alla conferenza Black Hat come la fondazione intende affrontare il problema sicurezza con il nuovo software. Anzitutto è stata risolta, con la versione Beta, una vulnerabilità vecchia di 10 anni, che riguarda tutti i browser ed era insita nei CSS. L'exploit permetteva a codice maligno di accedere alla cronologia e manipolare i collegamenti per apparenza e stile. "Ciò che ha reso il bug così difficile da riparare è che la soluzione più semplice, impedire la manipolazione dello stile di tutti i link, sarebbe stato come gettare il bambino con l'acqua sporca", ha dichiarato il diretto dello sviluppo di Firefox, Jonathan Nightingale. "Cambiare il colore ai collegamenti già visitati è una delle funzionalità più usate nel web e sarebbe catastrofico impedirla".

David Baron ha spiegato come risolvere il problema con un approccio su tre fronti che si focalizza sull'utente anziché il sito web. "La sua soluzione  limita quale aspetto dei link può essere modificato per colorarsi, poi mente attraverso JavaScript in modo che se la pagina interroga il link e riporta come se non fosse stato visitato, ciò che disegna il motore di Mozilla è quello corretto, che sia stato visitato o no", scrive Seth Rosenblatt su Cnet. Questa soluzione limita anche la quantità di calcoli che il motore di rendering deve fare e permette di focalizzarsi sui contenuti. Il primo browser a contenere questo fix è Safari 5.0.1 (Safari 5.0.1, nel 2010 Apple scopre le estensioni).

Un altro bug risolto con Firefox 4 beta è l'exploit "XSS primary scripting". Un problema che la nuova Content Security Policy risolve alla radice. "Un sito web è un documento che ha in sé differenti tipi di risorse (testo, video o audio) trattate con gli stessi privilegi. Quindi è difficile per il browser sapere che cosa è stato fatto consapevolmente o se si tratta di codice maligno. Con la Content Security Policy abbiamo spento tutto di default, forzando il sito web ad attivarli uno alla volta", ha dichiarato Brandon Sterne.

Questo codice, parte della nuova Content Security Policy di Firefox 4, dovrebbe rendere il browser più sicuro.

Il CSP non richiede un grande lavoro agli sviluppatori ed è progettato per essere retrocompatibile con i siti web esistenti. Inoltre, può essere implementato a livello sito o solo su pagine specifiche all'interno del sito, integrando la relativa linea di codice nell'header. Ci sono pericoli che riguardano l'HTML5? Secondo Mozilla ogni nuova tecnologia può aprire la strada a minacce per la sicurezza. Gli shader, implementati in webGL e OpenGL potrebbero essere vettori per nuovi attacchi. Mozilla sta lavorando per assicurarsi di avere meno problemi possibili.

Mozilla cambierà anche l'approccio agli aggiornamenti. Alcuni aggiornamenti verranno presentati e si avrà la possibilità di applicarli o meno. Altri, verranno invece installati per la sicurezza di tutti in maniera silenziosa.  Nightingale ha dichiarato che questi aggiornamenti "saranno applicati prima alla versione Windows perché è il sistema operativo più a rischio sul fronte degli attacchi.

Mozilla sta lavorando duramente anche sulla geolocalizzazione HTML5 e soprattutto a come difendere la privacy degli utenti. "Noi non invieremo informazioni private e se non lo faremo noi, non lo faranno gli altri. Stiamo provando a inserire più controlli possibili nelle mani degli utenti". Anche il servizio di sincronia dei dati, Firefox Sync (in precedenza si chiamava Weave), codificherà tutti i dati prima di inviarli alla cloud. Le informazioni saranno inaccessibili senza la password impostata dall'utente, che sarà archiviata localmente.

Firefox 4 farà progressi anche nella separazione dei processi, come i plug-in, dai componenti vitali per la stabilità del browser. Mozilla prevede che questa integrazione avrà benefici ancora più evidenti nel settore mobile, in quanto l'isolamento dei processi permette di non intaccare la reattività dell'interfaccia grafica, un aspetto ancor più cruciale sugli smartphone.

Infine Mozilla è intervenuta anche sul tema della divulgazione delle vulnerabilità, un aspetto che nel mondo della sicurezza sta tenendo banco più del solito (qui i dettagli: Autocompletamento browser, porta per gli hacker). "Sarebbe sempre meglio che le persone lavorassero con noi per rendere Internet un posto migliore, piuttosto che non dirci nulla. Una volta che il bug è risolto, lo rendiamo noto e condividiamo come è stato risolto", ha dichiarato Nightingale. Una posizione più vicina a Microsoft che a quella di Google, chi l'avrebbe mai detto.