Video: Mozilla is finally moving beyond Firefox! (Oktober 2024)
Er Firefox en mere sikker webbrowser end Microsofts Internet Explorer? Svaret kan være ja, men problemerne er mere komplicerede, end de fleste er klar over. Faktisk har Firefox sin andel af sikkerhedsproblemer og er sandsynligvis blevet reddet fra den virkelige verden hidtil kun af dens enscifrede markedsandel.
I slutningen af februar frigav Mozilla Organization den første opdatering til Firefox, version 1.0.1 (www.getfirefox.com). Der er ingen nye funktioner i note i den nye udgivelse, men den fik rettet 17 dokumenterede sårbarheder i version 1.0. (Www.mozilla.org/projects/security/known-vulnerabilities.html). Den mest berømte var en URL-spoofing-fejl, der involverede URL'er med internationaliserede domænenavne (IDN - www.mozilla.org/security/announce/mfsa2005-29.html). Grundlæggende kunne en angriber oprette et websted, der udadtil havde den samme URL som et andet sted (f.eks. Www.ebay.com), men faktisk vil domænenavnet være i et internationalt tegnsæt, ikke engelsk. (Mozilla løste faktisk ikke dette problem, hvilket er mindre en fejl i programmet end et problem med hele fremgangsmåden til IDN'er; i stedet for deaktiverer version 1.0.1 bare IDN-understøttelse som standard.)
Du har sandsynligvis ikke læst om nogen af disse fejl inden opdateringen. Det er fordi det først for nylig er, at Mozilla Organisation begyndte at udstede sikkerhedsrådgivere af den slags, som Microsoft udsteder hver måned (se www.mozilla.org/security/announce). For det meste skjulte Mozilla ikke disse fejl inden publicering af vejledninger, men det offentliggjorde heller ikke dem. Hvis du ved, hvor og hvordan man skal se ud, kan du få et bedre billede af sikkerhed (og andre) bugs i Firefox og andre Mozilla-projekter på bugzilla.mozilla.org, den officielle bugdatabase for Mozilla-udvikling. Men selv her er organisationen ikke helt åben for sikkerhedsfejl; når der rapporteres om nye, bliver posterne i Bugzilla generelt gjort private i et stykke tid, mens de undersøges og rettes.
Og i modsætning til Microsoft, når Mozilla løser en fejl, frigiver den ikke en patch til brugere. Hvis du vil holde sig til programmer på udgivelsesniveau, er din eneste mulighed at vente til den næste generelle udgivelse; opgraderingen til version 1.0.1 fra 1.0 tog omkring 3, 5 måneder. Du kan installere en midlertidig opbygning af programmet (de natlige builds er tilgængelige på ftp.mozilla. Org / pub / mozilla.org / firefox / nightly / recent-trunk /), men disse er ikke officielle udgivelsesversioner, og du bør forvente dem at have andre bugs; i det omfang du får support til Firefox, vil det blive undergravet af din brug af en midlertidig build.
I Firefox til Windows kan du indstille indstillingerne under Værktøjer | Indstillinger | -Avanceret- | Softwareopdatering for regelmæssigt at kontrollere Firefox-servere for opdateringer til programmet. Det finder version 1.0.1, men alt det vil gøre er at downloade hele programmet og starte installationsprogrammet. I Linux-versionen kan du kun opdatere udvidelser og temaer, ikke programkoden.
Og der er allerede sikkerhedsproblemer i version 1.0.1, selvom der ikke er nogen vejledninger til dem endnu. For eksempel på en flerbrugermaskine, f.eks. Et Linux-system, hvis en bruger, der kører som root starter Firefox, og en anden ikke-root-bruger starter Firefox, får den ikke-root-brugers forekomst af Firefox rodrettigheder (bugzilla.mozilla.org/ show_ bug.cgi? id = 247412).
- Mozilla Firefox 1.0 Mozilla Firefox 1.0
- Top 15 Firefox-udvidelser Top 15 Firefox-udvidelser
- Firefox får Yahoo Toolbar Support Firefox understøtter Yahoo Toolbar Support
- Firefox får større sikkerheds Makeover Makeover får større sikkerhed Makeover
Derudover er det vanskeligt og ikke klart for en bruger at undersøge certifikatet for en underskrevet udvidelse på installationstidspunktet (bugzilla.mozilla.org/show_bug.cgi?id=278629), så en spoofer kan have en nem tid med at slippe af sted med at foregive at være en pålidelig kilde. Der er også et antal crashbugs, såsom bugzilla.mozilla.org/show_ bug.cgi? Id = 263609, og disse indikerer ofte en anvendelig sårbarhed bag kulisserne.
Endelig har anti-spywarevirksomheder Webroot og Sunbelt Software sagt, at de forventer, at Firefox-specifik spyware begynder at dukke op i år, og hvis browserens markedsandel fortsætter med at stige, er det let at se, hvorfor det ville gøre det. Så glem ikke at opdatere, og hvil ikke på dine Firefox laurbær. Du er ikke fri for sikkerhedsproblemer, du har bare forskellige.
Larry Seltzer, en hyppig bidragyder til PC Magazine, skriver Security Watch-nyhedsbrevet til pcmag.com.
