其实在浏览器领域,开源Mozilla Firefox Web浏览器现处在现代IT安全的最前线。毕竟,这款Web浏览器是许多人访问互联网的常用渠道,因而常常也是攻击目标。 近些年来,Mozilla在确保这款浏览器的安全方面取得了相当大的进展,还有一份路线图,希望在将来让它变得更安全。Mozilla的火狐工程技术副总裁Johnathan Nightingale告诉媒体:“我们所做的许多安全工作并不是银弹式(silver bullet)解决方案。实际上是认真考虑人们上网时在哪里遇到了安全问题,哪里存在危险,我们怎样才能防范并消除那些风险。” 早在2010年发布的火狐3.6版本中,Mozilla就开始致力于让插件采用独立进程。之所以使用独立进程的插件,是为了让浏览器远离稳定性方面的风险,避免受到不稳定插件的影响。就算插件崩溃了,也不会再引起整个浏览器瘫痪。
为了确保插件的稳定性和安全性,仍有更多的工作要做,而Mozilla的“点击运行”(click-to-play)插件方法现在给这方面带来了影响。有了点击运行机制,插件就不会自动在默认情况下启动。 Mozilla正在开展的其中一项工作就是针对SSL证书锁定。借助证书锁定机制,火狐用户遇到的网站拥有SSL证书,而不是它应该拥有的证书后,就会 显示警示信息。Mozilla还在HSTS协议(HTTP严格传输安全)方面开展了工作,该协议让网站能够总是明确要求通过SSL进行连接。 所有现代浏览器普遍存在的最常见的软件安全漏洞之一是,释放后使用(use-after-free)的代码安全漏洞。借助释放后使用的安全漏洞,攻击者就有可能利用已分配内存来发动攻击。 Nightingale说:“只要人们用C和C++编写代码,就会存在内存安全问题,可以这么说。Mozilla有一些相当稳健的防御机制,可以及早发现许多内存安全问题,但内存管理却是计算机业界的难题之一。”话虽如此,Mozilla的确开展有一个日常性项目,将代码由C/C++改为像JavaScript这样的管理型代码系统。 本次专辑我们还为大家准备了一篇很有意思的技术文章,或许可以帮你更好地认识火狐,并更好地使用这款浏览器哦! 在点击按钮过后的220毫秒时间内,发生了一系列有趣的事情,火狐浏览器(Firefox)不仅改变了地址栏颜色,而且在浏览器的右下角出现了一个小锁头的标志。在我最喜欢的互联网工具Wireshark的帮助下,我们可以通过一个经过略微调整的用于debug的火狐浏览器来探究这一过程。
根据RFC 2818标准(译者注:RFC 2818为HTTP Over TLS-网络协议),火狐浏览器自动通过连接Amazon.com的443端口来响应HTTPS请求。TLS将全部的通信以不同方式包裹为“记录”(Records)。我们可以看到,从浏览器发出的第一个字节为0×16(十进制的22),它表示了这是一个“握手”记录。 接下来的两个字节是0×0301,它表示了这是一条版本为3.1的记录,同时也向我们表明了TLS1.0实际上是基于SSL3.1构建而来的。 在客户端问候中,有四个字节以Unix时间格式记录了客户端的协调世界时间(UTC)。协调世界时间是从1970年1月1日开始到当前时刻所经历的秒数。在这个例子中,0x4a2f07ca就是协调世界时间。在他后面有28字节的随机数,在后面的过程中我们会用到这个随机数。更多相关介绍大家可以关注下本次专辑…… 项目的开发和进展自然离不开技术人员的不断努力。最近就有人介绍了自己在Mozilla实习的经历,或许能让大家更多的了解Mozilla,了解火狐的近况以及为它发展做出各种贡献的人们……
我的实习工作基本上是和Identity项目团队一起开发,它就是给我们带来Persona平台的团队。我的任务是开发一个新创意,在Firefox里对WebRTC进行认证。除此之外,我还参与开发了Persona平台(更确切的说是browserid),来让它支持我们新的认证模块,来让任何一个网站都能使用Persona无缝的认证它们的用户的WebRTC调用。 Mozilla为我们在旧金山实习提供的住宿地点距离办公室只有4分钟的走路路程。这也许致使我老是愿意呆在公司里,但如果办公室里提供免费的零食和饮料,谁不愿意呢?还有风景实在很美。 在Mozilla的实习生,包括我,都被腐败了。待遇优厚,免费旅行/住宿,免费零食/饮料,每周都有派队,这些只是大蛋糕上的一点冰激凌!哦,我是否还提到过Mozilla送我去法国巴黎了!没错,我去了。在我的最后一周,我和一部分Identity团队成员到位于巴黎的办公室交流讨论,一起开发Persona,吃…喝….很多! 在Mozilla,一天努力的工作不会没人赏识、没有回报。工作—生活的平衡,更正是的说法是MFBT,不是事后才说的废话,它是你在Mozillian工作的一种权利(当然,那是在你提交了补丁,合并了pull请求后)。或许你想了解地更多,那么就来本次专辑瞧瞧吧! 值得让我们注意的那些Firefox 24新改变 最新版本Firefox 24目前已经登陆Windows、Mac、Linux和Android平台,在桌面模式下能够轻松快速关闭所选定的标签页,此外在Android平台上支持NFC分享和WebRTC。尽管对于桌面用户来说Firefox 24并不是非常巨大的更新,但是却有很多值得让我们注意的变化。 Mozilla为吸引Firefox OS应用开发推出送手机活动 今年5月份,Mozilla 推出了一个叫Phone for Apps的活动。顾名思义,Mozilla 会为开发者提供搭载 Firefox 操作系统的手机,但只有已经为 Firefox 操作系统开发过 app 的开发者才能申请。为了吸引更多的软件开发者,Mozilla 今天宣布了这个项目到了第二个阶段…… Mozilla应用商店强化发现功能:谷歌苹果应借鉴 美国科技博客TechCrunch周一刊登题为《苹果、微软和谷歌能从Mozilla应用商店原型中学到什么》(Apple, Microsoft And Google Could Learn Something From Mozilla’s App Store Prototype)的评论文章称,Mozilla根据用户的兴趣和社交元素来增强应用挖掘功能,帮助用户寻找更加多样化的内容,值得苹果公司、微软和谷歌借鉴。 |
