(in) Secure er en ugentlig kolonne, der dykker ned i det hurtigt eskalerende emne cybersikkerhed.
Af alle browsere har Firefox den længste historie med at holde sikkerheden i spidsen, både teknisk og filosofisk. Browserens moderselskab, Mozilla, er en aktiv deltager i mange cybersikkerhedsinitiativer. Den anlagde sag mod FCC over netneutralitet, vedtog ivrigt ikke Spor, da den debuterede, og har indgået et samarbejde med Washington Post for at forbedre onlinekommentarer.
Dave Camp, Vice President of Engineering hos Mozilla. Mozilla De seneste begivenheder i det sidste år har sat et nyt, intenst fokus på sikkerhed og privatlivets fred, da næsten alle er blevet påvirket af sikkerhedsspørgsmål for nylig - det være sig en processorsikkerhedsfejl eller en overtrædelse af et større firma som Equifax.
Denne uges kolonne er et interview med Dave Camp, vicepræsident for ingeniørarbejde, Mozilla hos Firefox. Vi besøgte Mozillas kontor i Portland, Oregon for at drøfte truende sikkerhedstrusler, såsom Meltdown og Spectre-fejl, der påvirker Intel-processorer, og Facebooks privatlivsdebakel.
Digitale tendenser: Nylige problemer som Meltdown og Ryzenfall har gjort, at der ser ud til, at der er en masse sikkerhedsproblemer, der lurer i hver enhed. Som en browserudvikler, hvordan reagerer du på et sådant problem, der påvirker hardware på et meget lavt niveau?
Dave Camp: Den første ting, vi gør, er når vi hører disse ting, finder vi ud af, hvad vi kan gøre for hurtigt at mindske problemet. Så da vi for eksempel først fandt ud af Meltdown og Spectre, er den hurtigste ting, vi var i stand til at gøre, bare at ændre opløsningen på vores timere, så det var sværere for angribere at drage fordel af det.
Browsere har en unik position. Vi skal være den første forsvarslinje.
Derefter arbejder vi med andre browserudbydere, vi finder rettelser, vi gør vores bedste for at omgå det, og vi opfordrer brugerne til at opgradere - men med Spectre er det ikke altid muligt. Vi gør vores bedste for at samarbejde med sikkerhedsforskere og andre browserleverandører for at finde rettelser og rulle dem hurtigt ud.
Browsere er i en unik position, fordi det er vores job at tage kode, der ikke er tillid til, og køre den på din maskine. Og så mange gange skal vi være den første forsvarslinje. Selvom det er hardwareleverandørens ansvar, har vi et ansvar over for vores brugere til at gøre hvad vi kan for at afbøde disse angreb.
I dag lancerede Mozillas Firefox en ny Facebook Container-tilføjelse for at forhindre sporing af sociale medier, hvilket jeg syntes var en interessant udvikling. Fra et teknisk perspektiv, hvordan fungerer en tilføjelse som den?
Firefox havde en funktion i vores motor i et stykke tid kaldet Firefox-containere. Hvad containerne gør, er at de isolerer ting som cookies og sessioner til en bestemt fane på et bestemt sted. Så når du installerer en Facebook-container, sørger den for, at når som helst du besøger Facebook.com, opsætter den nye sessioner og opsætter nye cookies.
Det deler ikke disse cookies med andre faner. Så lad os sige, at du navigerer væk fra Facebook til Food.com. Hvis Food.com indlæser en Facebook plus en knap, ser Facebook typisk den cookie, kan binde den til dit login på Facebook og kan spore dig på den måde. Fordi denne container afgrænser det til bare Facebook.com, når du går til Food.com og ser en plus en knap på Facebook, ser den ikke, at du er logget ind. Den forsøger at holde separate applikationer adskilt, så de kan ikke se hinanden og forhindre Facebook i at få oplysninger fra dette websted.
Er containerfunktionens kerne til Firefox, eller er noget kun aktiveret af denne tilføjelse?
Browseren har denne funktionalitet, der ikke udsættes for brugere. Vi har prøvet forskellige måder at afsløre det på. En anden tilføjelse, der bare hedder Firefox-containere, giver dig mulighed for at konfigurere alt dette og finde ud af, hvordan du vil konfigurere dine containere.
Facebook er et bestemt interessepunkt lige nu
Facebook er et særligt interessepunkt lige nu, så vi byggede denne tilføjelse ud og tilpassede den til Facebook, så brugerne ved, hvordan de skal interagere med den.
Kernecontainertilføjelsen, som vi allerede har offentliggjort, er ret avanceret og tager en forståelse af, hvad du vil gøre, så vi har netop frigivet denne, der er let for Facebook.
Redaktørens note: Firefox pegede på et blogindlæg, der forklarer funktionen i dybden.
Hvordan passer Quantum ind i din indsats? På et præstationsniveau er det bygget til bedre brug af flere kerner - men hvad gør det for sikkerhed og privatliv?
Firefox Quantum repræsenterede virkelig denne nytænkning af, hvordan vi bygger browseren, og hvordan vi er opmærksomme på ydeevnen. Vi bruger typisk ikke Quantum-projektet som frigivelse af sikkerhedsfunktioner, men vi har en sikkerhedskøreplan, der kører sammen med Quantum-projektet.
Det største stykke, vi har der, er indholdsproces sandboxing. Vi arbejder lidt med operativsystemet for at sige "dette er ikke tillid til", så OS kan forsøge at forhindre browseren i at kompromittere systemet. Det er et ekstra lag af sikkerhed omkring den sikkerhed, vi prøver at gøre i browseren.
Når vi arbejder igennem vores sikkerhedsprogram det næste år, arbejder vi på at stramme vores sandkasse for at finde flere måder at få operativsystemet til at hjælpe os med at være sikre.
Hvad tror du er det næste store sikkerhedsproblem, som browserudviklere som et samfund skal tage på?
Jeg tror, at alle browsere bliver nødt til at bruge betydelig tid på at forstå Spectre-sårbarhederne. Det vil tage meget arbejde, og vi bruger meget tid på at forstå, hvordan det fungerer, og alle konsekvenserne af det.
Dette interview er redigeret og kondenseret for klarhedens skyld.
