Bezpečnost Firefoxu v roce 2019: ochrana soukromí a bezpečnější kód

23. 4. 2020
Doba čtení: 3 minuty

Sdílet

 Autor: Mozilla
Souhrn toho, co se v uplynulém roce dělo při vývoji Firefoxu s ohledem na bezpečnost a soukromí. Vylepšen byl sandboxing, rozšířena byla ochrana proti sledování a integrován byl nový správce hesel.

Minulý týden Johann Hofmann zrekapituloval, co se minulý rok událo ve vývoji Firefoxu z pohledu bezpečnosti. A protože bezpečnost obecně považuji v informatice za zajímavé téma, rozhodl jsem se níže shrnout to nejzajímavější, co Johann zmínil.

Bezpečnější kód

Pro svou vlastní ochranu používá Firefox sandbox, kterým operačnímu procesu sděluje, jaké operace v počítači jsou pro Firefox očekávané a jaké ne. Pokud by někdo Firefox napadl a pokusil se třeba upravovat nastavení operačního systému, aby mohl napadnou zbytek vašeho počítače, sandbox by to neměl dovolit. V Mozille loni hodně pracovali na tom, aby se z tohoto sandboxu nedalo nijak snadno uniknout, včetně úprav rozdělení Firefoxu do jednotlivých procesů nebo změn v kódu Firefoxu samotného, který je teď k podobným útokům méně náchylný. A týká se to i doplňků, které si do Firefoxu instalujete.

Dále pokračovalo a pokračuje odstraňování XULu a XBL, rozšířené testování komponent, které zajišťují síťovou komunikaci a šifrování (Necko a NSS) i projekt Fission, který ochrání Firefox před útoky na úrovni procesoru vašeho počítače.

Soukromí

Prohlížeč kromě vlastní bezpečnosti zajišťuje i bezpečnost vašich uživatelských dat, která má uložená a obecně ke kterým má přístup. V roce 2019 vyšel Firefox s rozšířenou ochranou proti sledování, která kromě sledovacích prvků blokuje i těžbu kryptoměn, pokusy o vytvoření otisku prohlížeče nebo vložené prvky sociálních sítí. Důkaz, že to opravdu funguje, vám Firefox rád předloží formou statistik počtu zablokovaných prvků za poslední týden.

Jako ochranu před sledováním ze strany sociálních sítí můžete navíc použít doplněk Facebook Container, nebo si nastavit vlastní pravidla a identity s Firefox Multi-Account Containers.

Některé funkce pro zvýšení vašeho soukromí vzešly (a další zůstávají skrytě dostupné skrze editor předvoleb) ze spolupráce s prohlížečem Tor, který z Firefoxu vychází a Mozilla některé jeho funkce přebírá přímo do Firefoxu.

Kromě toho soukromí při prohlížení začala Mozilla pracovat na ještě lepší ochraně vašeho soukromí při sběru telemetrie, kterou potřebuje pro vylepšování Firefoxu. Nový mechanismus už se testuje v nočních sestaveních.

Bezpečnost na webu

Kromě bezpečnostních prvků, které aktivně zasahují do fungování Firefoxu, se hodně rozšířila i dostupnost nástrojů, které máte ve Firefoxu k dispozici. Ať už se jedná o nový správce hesel s integrací varování při jejich úniku. Pro uživatele ve Spojených státech je dostupná služba Firefox Private Network jako ochrana při používání veřejných Wi-Fi sítí.

Velká péče byla věnována zabezpečenému spojení. Od nových indikátorů v adresním řádku, přes prohlížeč certifikátů až po chybová stránky, které lépe popisují, co se pokazilo. Při rozhodnutí, zda je stránku bezpečné navštívit, tak máte k dispozici mnohem více srozumitelných informací, na základě kterých se můžete rozhodnout. Odloženo zatím zůstává odstranění podpory starých verzí TLS.

Firefox také zpřísnil požadavky na přístup a oprávnění k API s informacemi o vaší poloze nebo možnosti zasílat vám oznámení.

bitcoin_skoleni

Nalezené bezpečnostní chyby

Kromě předcházení útokům jsou důležité také reakce, pokud už je v kódu nějaká mezera objevena. Během loňského roku vydala Mozilla čtyři setinové bezpečnostní aktualizace a u všech trvalo jejich vydání do jednoho dne. Zvýšily se odměny za nalezené a nahlášené chyby, a Mozilla nadále podporuje ostatní otevřené projekty, a díky tomu se zlepšuje i jejich bezpečnost.

(Zdroje: firefox-dev, MozillaWiki; původně vyšlo na Mozilla.cz)

Autor článku

Absolvent FEL ČVUT, dnes pracuje ve společnosti Cisco na vývoji bezpečnostního produktu Cognitive. Je členem spolku OpenAlt a koordinátorem Mozilla.cz.