(in) Secure je týdenní sloupec, který se ponoří do rychle se stupňujícího tématu kybernetické bezpečnosti.
Ze všech prohlížečů má Firefox nejdelší historii udržování bezpečnosti v popředí své mysli, a to jak technicky, tak filozoficky. Mateřská společnost prohlížeče, Mozilla, je aktivním účastníkem mnoha iniciativ v oblasti kybernetické bezpečnosti. Podala žalobu na FCC kvůli neutralitě sítě, dychtivě přijala Do Not Track, když debutovala, a uzavřela partnerství s The Washington Post vylepšit online komentáře.
Dave Camp, viceprezident pro inženýrství v Mozille. Mozilla Nedávné události z loňského roku přinesly nový, intenzivní důraz na bezpečnost a soukromí, protože téměř každý byl nedávno zasažen bezpečnostním problémem - ať už jde o bezpečnostní chybu procesoru nebo porušení významné společnosti, jako je Equifax.
Sloupkem tohoto týdne je rozhovor s Dave Campem, viceprezidentem pro inženýrství, Mozilla ve Firefoxu. Navštívili jsme pobočku společnosti Mozilla v Portlandu v Oregonu, abychom diskutovali o hrozících bezpečnostních hrozbách, jako jsou chyby Meltdown a Spectre, které mají dopad na procesory Intel, a debakl ochrany soukromí Facebooku.
Digitální trendy: Nedávné problémy jako Meltdown a Ryzenfall způsobily, že v každém zařízení číhá hromada bezpečnostních problémů. Jak jako vývojář prohlížeče reagujete na takový problém, který ovlivňuje hardware na velmi nízké úrovni?
Dave Camp: První věc, kterou uděláme, je, když tyto věci uslyšíme, přijdeme na to, co můžeme udělat, abychom problém rychle zmírnili. Když jsme se tedy poprvé dozvěděli například o Meltdown a Spectre, nejrychlejší věcí, kterou jsme mohli udělat, je jen změnit rozlišení našich časovačů, aby bylo pro útočníky těžší to využít.
Prohlížeče jsou v jedinečné pozici. Musíme být první obrannou linií.
Poté spolupracujeme s dalšími dodavateli prohlížečů, vyhledáváme opravy, snažíme se je obejít a vyzýváme uživatele k upgradu - i když u Spectra to není vždy možné. Snažíme se spolupracovat s výzkumníky zabezpečení a dalšími prodejci prohlížečů, abychom našli opravy a rychle je zavedli.
Prohlížeče jsou v jedinečné pozici, protože je naší úlohou vzít nedůvěryhodný kód a spustit jej na vašem počítači. A tak mnohokrát musíme být první obrannou linií. I když je to odpovědnost dodavatele hardwaru, máme odpovědnost za naše uživatele, aby udělali, co je v našich silách, pro zmírnění těchto útoků.
Dnes Mozilla Firefox spustila nový doplněk Facebook Container, který zabrání sledování sociálních médií, což jsem považoval za zajímavý vývoj. Jak z technického hlediska funguje takový doplněk?
Firefox měl v našem enginu nějakou dobu funkci nazvanou kontejnery Firefoxu. Kontejnery dělají to, že izolují věci, jako jsou soubory cookie a relace, na konkrétní kartu na konkrétním webu. Když tedy nainstalujete kontejner na Facebooku, zajistí, že kdykoli navštívíte Facebook.com, nastaví nové relace a nastaví nové soubory cookie.
Tyto soubory cookie nesdílí s jinými kartami. Řekněme, že přejdete z Facebooku na Food.com. Pokud Food.com načte Facebook plus jedno tlačítko, obvykle Facebook vidí tento soubor cookie, může jej spojit s vaším přihlášením na Facebooku a může vás takto sledovat. Vzhledem k tomu, že tento kontejner omezuje rozsah pouze na Facebook.com, když přejdete na Food.com a uvidíte tlačítko plus jedno na Facebooku, nevidí, že jste přihlášeni. Snaží se oddělit samostatné aplikace tak, aby nemohou se navzájem vidět a bránit Facebooku v získávání informací z tohoto webu.
Je jádro funkce kontejneru pro Firefox nebo něco povoleno pouze tímto doplňkem?
Prohlížeč má tuto funkci, která není vystavena uživatelům. Zkoušeli jsme různé způsoby, jak to odhalit. Další doplněk, který se právě nazývá kontejnery Firefoxu, vám umožňuje toto vše nakonfigurovat a zjistit, jak chcete své kontejnery nastavit.
Facebook je právě teď zvláštním bodem zájmu
Facebook je právě teď zvláštním bodem zájmu, proto jsme tento doplněk postavili a přizpůsobili jej pro Facebook, aby uživatelé věděli, jak s ním komunikovat.
Doplněk pro základní kontejnery, který jsme již publikovali, je docela pokročilý a rozumí tomu, co chcete dělat, takže jsme právě vydali tento, který je pro Facebook snadný.
Poznámka redakce: Firefox nás upozornil na příspěvek na blogu, který tuto funkci podrobně vysvětluje.
Jak Quantum zapadá do vašeho úsilí? Na výkonnostní úrovni je postaven pro lepší využití více jader - ale co dělá pro bezpečnost a soukromí?
Firefox Quantum skutečně představoval toto přehodnocení toho, jak sestavujeme prohlížeč a jak věnujeme pozornost výkonu. Projekt Quantum obvykle nepoužíváme jako vydání bezpečnostních funkcí, ale máme bezpečnostní plán, který běží vedle projektu Quantum.
Hlavní část, kterou tam máme, je karanténa procesu zpracování obsahu. S operačním systémem pracujeme tak, že řekneme „toto není důvěryhodné“, takže se OS může pokusit zabránit prohlížeči v ohrožení systému. Jedná se o další vrstvu zabezpečení kolem zabezpečení, které se v prohlížeči snažíme dělat.
Jak pracujeme na našem bezpečnostním programu s příštím rokem, pracujeme na zpřísnění naší karantény, abychom našli další způsoby, jak získat operační systém, který nám pomůže být v bezpečí.
Co si myslíte, že jde o další hlavní bezpečnostní problém, kterého by se vývojáři prohlížečů jako komunita měli chopit?
Myslím, že všechny prohlížeče budou muset strávit značný čas porozuměním zranitelností Spectra. To bude vyžadovat hodně práce a strávíme spoustu času porozuměním, jak to funguje, a všem jeho důsledkům.
Tento rozhovor byl kvůli jasnosti upraven a zkrácen.
