Minulý týden Johann Hofmann zrekapituloval, co se minulý rok událo ve vývoji Firefoxu z pohledu bezpečnosti. A protože bezpečnost obecně považuji v informatice za zajímavé téma, rozhodl jsem se níže shrnout to nejzajímavější, co Johann zmínil.
Bezpečnější kód
Pro svou vlastní ochranu používá Firefox sandbox, kterým operačnímu procesu sděluje, jaké operace v počítači jsou pro Firefox očekávané a jaké ne. Pokud by někdo Firefox napadl a pokusil se třeba upravovat nastavení operačního systému, aby mohl napadnou zbytek vašeho počítače, sandbox by to neměl dovolit. V Mozille loni hodně pracovali na tom, aby se z tohoto sandboxu nedalo nijak snadno uniknout, včetně úprav rozdělení Firefoxu do jednotlivých procesů nebo změn v kódu Firefoxu samotného, který je teď k podobným útokům méně náchylný. A týká se to i doplňků, které si do Firefoxu instalujete.
Dále pokračovalo a pokračuje odstraňování XULu a XBL, rozšířené testování komponent, které zajišťují síťovou komunikaci a šifrování (Necko a NSS) i projekt Fission, který ochrání Firefox před útoky na úrovni procesoru vašeho počítače.
Soukromí
Prohlížeč kromě vlastní bezpečnosti zajišťuje i bezpečnost vašich uživatelských dat, která má uložená a obecně ke kterým má přístup. V roce 2019 vyšel Firefox s rozšířenou ochranou proti sledování, která kromě sledovacích prvků blokuje i těžbu kryptoměn, pokusy o vytvoření otisku prohlížeče nebo vložené prvky sociálních sítí. Důkaz, že to opravdu funguje, vám Firefox rád předloží formou statistik počtu zablokovaných prvků za poslední týden.
Jako ochranu před sledováním ze strany sociálních sítí můžete navíc použít doplněk Facebook Container, nebo si nastavit vlastní pravidla a identity s Firefox Multi-Account Containers.
Některé funkce pro zvýšení vašeho soukromí vzešly (a další zůstávají skrytě dostupné skrze editor předvoleb) ze spolupráce s prohlížečem Tor, který z Firefoxu vychází a Mozilla některé jeho funkce přebírá přímo do Firefoxu.
Kromě toho soukromí při prohlížení začala Mozilla pracovat na ještě lepší ochraně vašeho soukromí při sběru telemetrie, kterou potřebuje pro vylepšování Firefoxu. Nový mechanismus už se testuje v nočních sestaveních.
Bezpečnost na webu
Kromě bezpečnostních prvků, které aktivně zasahují do fungování Firefoxu, se hodně rozšířila i dostupnost nástrojů, které máte ve Firefoxu k dispozici. Ať už se jedná o nový správce hesel s integrací varování při jejich úniku. Pro uživatele ve Spojených státech je dostupná služba Firefox Private Network jako ochrana při používání veřejných Wi-Fi sítí.
Velká péče byla věnována zabezpečenému spojení. Od nových indikátorů v adresním řádku, přes prohlížeč certifikátů až po chybová stránky, které lépe popisují, co se pokazilo. Při rozhodnutí, zda je stránku bezpečné navštívit, tak máte k dispozici mnohem více srozumitelných informací, na základě kterých se můžete rozhodnout. Odloženo zatím zůstává odstranění podpory starých verzí TLS.
Firefox také zpřísnil požadavky na přístup a oprávnění k API s informacemi o vaší poloze nebo možnosti zasílat vám oznámení.
Nalezené bezpečnostní chyby
Kromě předcházení útokům jsou důležité také reakce, pokud už je v kódu nějaká mezera objevena. Během loňského roku vydala Mozilla čtyři setinové bezpečnostní aktualizace a u všech trvalo jejich vydání do jednoho dne. Zvýšily se odměny za nalezené a nahlášené chyby, a Mozilla nadále podporuje ostatní otevřené projekty, a díky tomu se zlepšuje i jejich bezpečnost.
Zdroje: firefox-dev, MozillaWiki
containery napsal(a)
Michal Stanke napsal(a)