A biztonságra gyúr az új Firefox
Újabb főverziójához érkezett a Firefox, amely egy vadiúj sandboxing technológiával igyekszik elejét venni a biztonsági hibákból eredő problémáknak.
A tegnap megjelent 95-ös számozású kiadás tehát egy új biztonsági funkciót vezet be, amelynek célja, hogy korlátozza a böngésző kódjában található esetleges biztonsági rések okozta kockázatot. Az RLBox nevű funkciót a San Diegói Kaliforniai Egyetem és a Texasi Egyetem kutatóinak segítségével fejlesztették ki.
Introvertáltak az IT-ban: a hard skill nem elég Már nem elég zárkózott zseninek lenni, aki egyedül old meg problémákat. Az 53. kraftie adásban az introverzióról beszélgettünk.
Az RLBox tehát alapvetően egy sandboxing technológia, amely hatékonyan képes elszigetelni a böngésző kódját a különféle weboldalakétól, így a böngészős biztonsági rések lényegesen kisebb kockázatot jelentenek a rendszer, illetve a felhasználó számára. A sandboxing széles körben alkalmazott biztonságnövelő az iparágban, a böngészők többsége már jó ideje alkalmazza valamilyen formában a technológiát, megakadályozva, hogy a rosszindulatú vagy rosszul megírt webhelyek veszélyeztessék a felhasználót.
Az RLBox azonban eltér a hagyományos megközelítéstől, melynek hála erőforrásigénye alacsonyabb, mely elsősorban a böngészők szempontjából kritikus memóriahasználatban mutatkozik meg. Az RLBox lehetővé teszi a böngésző kritikus alkomponenseinek különálló sandboxolását, így például a beépített helyesírás-ellenőrző, vagy bármilyen más komponens is könnyen elszeparálható. A kiválasztott elemek sandboxolt futtatásával úgy korlátozható, hogy a nem megbízhatóként kezelt kód pontosan milyen adatokhoz férhet hozzá, hogy azt nem szükséges külön folyamatként futtatni.
A 95-ös kiadás öt modult különít el: a Graphite betűkészlet-rendező motort, a magyar fejlesztésű Hunspell helyesírás-ellenőrzőt, az Ogg multimédia-konténer formátumot, az Expat XML-parsert, valamint a Woff2 webes betűtípus tömörítési formátumot. A Mozilla szerint ez azt jelenti, hogy ha hibákat vagy sebezhetőségeket fedeznek fel ezen alkomponensek valamelyikében, a fejlesztőknek nem kell kutyafuttában betömniük a réseket. "Így még egy zero-day sebezhetőség sem jelenthet azonnali veszélyt a Firefox felhasználóira" - állítja a Mozilla.
A cég ugyanakkor elismeri, hogy jelen formájában az RLBox egy nem mindenre kiterjedő megoldás, amely így nem fog minden komponensnél működni, például a különösen teljesítményérzékeny böngészőkomponensek esetében. A Mozilla a jövőben a Firefox több összetevőjére is kiterjesztené az új sanboxingot, miközben reméli, hogy hamarosan más böngészők és szoftverek is bevezetik a technológiát. Ezzel párhuzamosan a cég frissítette bug bounty programját, melynek értelmében mostantól azért is fizetni fog a kutatóknak, ha képesek megkerülni az RLBoxot.
Mindezek mellett még több hibajavítást is elvégeztek a készítők, illetve még számos kisebb módosítás is bekerült a Firefox 95-ös verziójába, melynek részleteit a kiadási jegyzékben taglalja a Mozilla.