Firefox 4 sarà sicuramente un browser più sicuro della versione 3.6. Brandon Sterne, Security Program Manager di Mozilla, ha svelato alla conferenza Black Hat come la fondazione intende affrontare il problema sicurezza con il nuovo software. Anzitutto è stata risolta, con la versione Beta, una vulnerabilità vecchia di 10 anni, che riguarda tutti i browser ed era insita nei CSS. L'exploit permetteva a codice maligno di accedere alla cronologia e manipolare i collegamenti per apparenza e stile.
Come è noto - spiega Tom's Hardware -, Mozilla ha reso disponibile per il download la seconda Beta di Firefox 4, anche per la localizzazione in lingua italiana. Lo sviluppo della nuova versione del browser del panda rosso prosegue a ritmi sostenuti e particolare attenzione è riservata alla sicurezza, come spiegato nel corso della Black Hat 2010 da Brandon Sterne (Mozilla Security Program Manager), Jonathan Nightingale (Firefox Director of Development) e David Baron (Software Developer).
Uno dei più importanti fix implementati nella Beta di Firefox 4 ha risolto una vulnerabilità nota da 10 anni e che affligge tutti i browser: un bug di CSS consentiva a malintenzionati di accedere – tramite codice maligno – alla cronologia del browser e di manipolare l’aspetto e lo stile dei link. La Beta di Firefox 4 ha posto fine a questa problema, senza compromettere l’usabilità delle funzionalità CSS. Firefox 4 farà progressi anche nella separazione dei processi, come i plug-in, dai componenti vitali per la stabilità del browser.
Un altro bug che ha trovato soluzione Firefox 4 Beta è un exploit XSS primary scripting. Un problema, ha spiegato Sterne, che con la nuova Content Security Policy di Firefox viene risolto alla base. La nuova CSP, ha sottolineato il manager, è stata sviluppata per essere retrocompatibile con i siti web esistenti e può essere implementata sull’intero sito o all’interno di specifiche pagine web. to pare insicura. Un problema che la nuova Content Security Policy risolve alla radice.
Mozilla sta lavorando duramente anche sulla geolocalizzazione HTML5 e soprattutto a come difendere la privacy degli utenti. "Noi non invieremo informazioni private e se non lo faremo noi, non lo faranno gli altri. Stiamo provando a inserire più controlli possibili nelle mani degli utenti". Anche il servizio di sincronia dei dati, Firefox Sync (in precedenza si chiamava Weave), codificherà tutti i dati prima di inviarli alla cloud. Le informazioni saranno inaccessibili senza la password impostata dall'utente, che sarà archiviata localmente.
Infine Mozilla è intervenuta anche sul tema della divulgazione delle vulnerabilità, un aspetto che nel mondo della sicurezza sta tenendo banco più del solito. "Sarebbe sempre meglio che le persone lavorassero con noi per rendere Internet un posto migliore, piuttosto che non dirci nulla. Una volta che il bug è risolto, lo rendiamo noto e condividiamo come è stato risolto", ha dichiarato Nightingale. Una posizione più vicina a Microsoft che a quella di Google, chi l'avrebbe mai detto.
Nessun commento:
Posta un commento