Video: Mozilla is finally moving beyond Firefox! (November 2024)
Is Firefox een veiligere webbrowser dan Microsoft's Internet Explorer? Het antwoord is misschien ja, maar de problemen zijn ingewikkelder dan de meeste mensen zich realiseren. Firefox heeft zelfs zijn aandeel in beveiligingsproblemen en is waarschijnlijk tot nu toe alleen door zijn eencijferige marktaandeel van een aanval in de echte wereld gered.
Eind februari bracht de Mozilla-organisatie de eerste update uit voor Firefox, versie 1.0.1 (www.getfirefox.com). Er zijn geen nieuwe speciale functies in de nieuwe release, maar het heeft 17 gedocumenteerde kwetsbaarheden in versie 1.0 opgelost. (Www.mozilla.org/projects/security/known-vulnerabilities.html). De meest bekende was een URL-spoofing-bug met URL's met geïnternationaliseerde domeinnamen (IDN - www.mozilla.org/security/announce/mfsa2005-29.html). Kortom, een aanvaller kan een site opzetten die naar buiten toe dezelfde URL heeft als een andere site (zoals www.ebay.com), maar de domeinnaam zou in feite een internationale tekenset zijn, niet Engels. (Mozilla heeft dit probleem niet echt opgelost, wat minder een bug in het programma is dan een probleem met de hele aanpak van IDN's; in plaats daarvan schakelt versie 1.0.1 standaard alleen IDN-ondersteuning uit.)
Je had waarschijnlijk nog nooit over die bugs gelezen vóór de update. Dat komt omdat de Mozilla-organisatie pas sinds kort beveiligingsadviezen begint uit te brengen die Microsoft elke maand geeft (zie www.mozilla.org/security/announce). Voor het grootste deel verborg Mozilla deze bugs niet voordat hij adviezen publiceerde, maar publiceerde ze ook niet. Als u weet waar en hoe u moet zoeken, kunt u een beter beeld krijgen van beveiligings (en andere) bugs in Firefox en andere Mozilla-projecten op bugzilla.mozilla.org, de officiële database met bugs voor de ontwikkeling van Mozilla. Maar zelfs hier is de organisatie niet helemaal open over beveiligingsfouten; wanneer nieuwe worden gemeld, worden de vermeldingen in Bugzilla over het algemeen een tijdje privé gehouden, terwijl ze worden onderzocht en gerepareerd.
En in tegenstelling tot Microsoft geeft Mozilla bij het oplossen van een bug geen patch voor gebruikers. Als je je wilt houden aan programma's op relatieniveau, is je enige optie om te wachten op de volgende algemene release; de upgrade naar versie 1.0.1 vanaf 1.0 duurde ongeveer 3, 5 maanden. Je kunt een tussentijdse build van het programma installeren (de nachtelijke builds zijn beschikbaar op ftp.mozilla. Org / pub / mozilla.org / firefox / nightly / last-trunk /), maar dit zijn geen officiële releaseversies en je zou ze moeten verwachten om andere bugs te hebben; voor zover u ondersteuning voor Firefox krijgt, wordt deze ondermijnd door uw gebruik van een interim-build.
In Firefox voor Windows kunt u de opties instellen op Extra | Opties | -Geavanceerde- | Software-update om Firefox-servers regelmatig te controleren op updates van het programma. Het zal versie 1.0.1 vinden, maar het enige dat het doet is het hele programma downloaden en het installatieprogramma starten. In de Linux-versie kunt u alleen extensies en thema's bijwerken, niet de programmacode.
En er zijn al beveiligingsproblemen in versie 1.0.1, zelfs als er nog geen adviezen voor zijn. Als op een machine met meerdere gebruikers, zoals een Linux-systeem, bijvoorbeeld een gebruiker die als root draait Firefox start en een andere niet-rootgebruiker Firefox start, krijgt die niet-rootgebruiker van Firefox rootrechten (bugzilla.mozilla.org/ show_ bug.cgi? id = 247412).
- Mozilla Firefox 1.0 Mozilla Firefox 1.0
- Top 15 Firefox-extensies Top 15 Firefox-extensies
- Firefox krijgt ondersteuning voor Yahoo Toolbar Firefox krijgt ondersteuning voor Yahoo Toolbar
- Firefox krijgt belangrijke beveiligings make-over Firefox krijgt grote beveiligings make-over
Bovendien is het voor een gebruiker moeilijk en niet voor de hand liggend om het certificaat voor een ondertekende extensie te onderzoeken tijdens de installatie (bugzilla.mozilla.org/show_bug.cgi?id=278629), dus een spoofer kan een gemakkelijke tijd hebben om weg te komen met doen alsof een vertrouwde bron. Er zijn ook een aantal crashbugs, zoals bugzilla.mozilla.org/show_ bug.cgi? Id = 263609, en deze duiden vaak op een exploiteerbare kwetsbaarheid achter de schermen.
Tot slot hebben anti-spywarebedrijven Webroot en Sunbelt Software gezegd dat ze verwachten dat Firefox-specifieke spyware dit jaar zal verschijnen, en als het marktaandeel van de browser blijft toenemen, is het gemakkelijk te begrijpen waarom dit zou gebeuren. Dus vergeet niet om bij te werken en rust niet op uw Firefox-lauweren. U bent niet vrij van beveiligingsproblemen, u hebt gewoon verschillende.
Larry Seltzer, die regelmatig bijdraagt aan PC Magazine, schrijft de Security Watch-nieuwsbrief voor pcmag.com.
