Video: Mozilla is finally moving beyond Firefox! (Oktober 2024)
Er Firefox en sikrere nettleser enn Microsofts Internet Explorer? Svaret kan være ja, men problemene er mer kompliserte enn folk flest er klar over. Faktisk har Firefox sin del av sikkerhetsproblemer, og har antagelig blitt reddet fra angrep i den virkelige verden så langt bare av sin ensifrede markedsandel.
I slutten av februar slapp Mozilla Organization den første oppdateringen til Firefox, versjon 1.0.1 (www.getfirefox.com). Det er ingen nye funksjoner i note i den nye utgivelsen, men det løste 17 dokumenterte sårbarheter i versjon 1.0. (Www.mozilla.org/projects/security/known-vulnerabilities.html). Den mest kjente var en URL-spoofing-feil som involverte URL-er med internasjonaliserte domenenavn (IDN - www.mozilla.org/security/announce/mfsa2005-29.html). I utgangspunktet kunne en angriper sette opp et nettsted som til ytre hadde samme URL som et annet nettsted (for eksempel www.ebay.com), men faktisk vil domenenavnet være i et internasjonalt tegnsett, ikke engelsk. (Mozilla løste ikke dette problemet, som er mindre en feil i programmet enn et problem med hele tilnærmingen til IDN-er; i stedet deaktiverer versjon 1.0.1 bare IDN-støtte som standard.)
Du hadde sannsynligvis ikke lest om noen av disse feilene før oppdateringen. Det er fordi det først nylig var at Mozilla-organisasjonen begynte å utstede sikkerhetsrådgivere av den typen som Microsoft gir ut hver måned (se www.mozilla.org/security/announce). For det meste skjulte ikke Mozilla disse feilene før publiseringsveiledninger, men det offentliggjorde heller ikke dem. Hvis du vet hvor og hvordan du skal se ut, kan du få et bedre bilde av sikkerhets (og andre) feil i Firefox og andre Mozilla-prosjekter på bugzilla.mozilla.org, den offisielle bugdatabasen for Mozilla-utvikling. Men selv her er ikke organisasjonen helt åpen om sikkerhetsfeil; når det rapporteres om nye, blir oppføringene i Bugzilla generelt gjort private i en tid mens de blir undersøkt og fikset.
Og i motsetning til Microsoft, når Mozilla fikser en feil, gir den ikke ut en oppdatering for brukere. Hvis du vil holde deg til programmer på utgivelsesnivå, er det eneste alternativet å vente til neste generelle utgivelse; oppgraderingen til versjon 1.0.1 fra 1.0 tok omtrent 3, 5 måneder. Du kan installere en midlertidig bygging av programmet (de nattlige buildene er tilgjengelige på ftp.mozilla. Org / pub / mozilla.org / firefox / nightly / last-trunk /), men dette er ikke offisielle versjonsversjoner, og du bør forvente dem å ha andre feil; i den grad du får støtte for Firefox, vil den undergraves av din bruk av et mellomliggende byggverk.
I Firefox for Windows kan du stille alternativene til Verktøy | Alternativer | -Advanced- | Programvareoppdatering for å sjekke Firefox-servere med jevne mellomrom for oppdateringer til programmet. Den vil finne versjon 1.0.1, men alt det vil gjøre er å laste ned hele programmet og starte installasjonsprogrammet. På Linux-versjonen kan du bare oppdatere utvidelser og temaer, ikke programkoden.
Og det er sikkerhetsproblemer i versjon 1.0.1 allerede, selv om det ikke er noen rådgivere for dem ennå. For eksempel, på en flerbruksmaskin, for eksempel et Linux-system, hvis en bruker som kjører som root starter Firefox, og en annen ikke-root-bruker starter Firefox, får den ikke-root-brukerens forekomst av Firefox root-rettigheter (bugzilla.mozilla.org/ show_ bug.cgi? id = 247412).
- Mozilla Firefox 1.0 Mozilla Firefox 1.0
- Topp 15 Firefox-utvidelser Topp 15 Firefox-utvidelser
- Firefox vinner Yahoo Toolbar Support Firefox Gains Yahoo Toolbar Support
- Firefox får større sikkerhets Makeover Firefox får større sikkerhets Makeover
Dessuten er det vanskelig og ikke tydelig for en bruker å undersøke sertifikatet for en signert utvidelse på installasjonstidspunktet (bugzilla.mozilla.org/show_bug.cgi?id=278629), så en spoofer kan ha en enkel tid å komme unna med å late som om han er en pålitelig kilde. Det finnes også en rekke krasjfeil, for eksempel bugzilla.mozilla.org/show_ bug.cgi? Id = 263609, og disse indikerer ofte en utnyttbar sårbarhet bak kulissene.
Endelig har antispionvare-selskapene Webroot og Sunbelt Software sagt at de forventer at Firefox-spesifikk spyware vil begynne å dukke opp i år, og hvis nettleserens markedsandel fortsetter å øke, er det lett å se hvorfor det ville gjort det. Så ikke glem å oppdatere, og ikke hvile på Firefox laurbær. Du er ikke fri for sikkerhetsproblemer, du har bare forskjellige.
Larry Seltzer, en hyppig bidragsyter til PC Magazine, skriver nyhetsbrevet om Security Watch for pcmag.com.
