本文来源:网站建设-网站制作|网络营销专家慧云科技-抢滩登陆2009-5-27 18:25:29
关键字:Mozilla , Firefox
最近经历恶意软件产品事件之后,Mozilla承诺确保软件产品的问题。
本月初,当为了改变NoScript干扰AdBlock Plus ,AdBlock Plus的开发商Wladimir Palant批评Giorgio Maone (JavaScript-blocking extension NoScript的创作者)时,Mozilla Firefox插件缺乏安全监督变得明显。
虽然Maone后来道歉,但恶意软件并没有停止蔓延。Mozilla坚持认为,它致力于维护用户的安全,隐私和控制。
AdBlock - NoScript争议之后, Mozilla恶意插件导致Nick Nguyen在一封电子邮件中说, “在前进的道路上我们要特别注意,以确保这种变化被发现,当出现问题时可我们可以迅速作出反应。如NoScript ,一旦发现问题,就采取了纠正行动。我们还可以追溯阻止任何我们认为是恶意的插件。 “
Mozilla公司的承诺努力清除恶意软件,而不是在恶意软件公布于众之前就发觉它。今为止,其做法还是有效的。问题是是否有更积极主动的方法,如将安全审查的代码提交给AMO( addons.mozilla.org ) ,当恶意软件编写者必要进行试验或试图颠覆值得信赖的开发商时,这一举措是必要的。
Silva坚持认为建立一个独特的恶意插件甚至没有必要“ 因为Firefox是无法核实是否受到损害。 ”他利用NoScript作为一个例子,但问题是许多插件容易被修改以劫持信息。
Silva的PoC业务涉及编辑NoScript XUL覆盖文件,某种形式使用Mozilla浏览器的XML来描述界面布局。与其他的JavaScript文件衔接,改变插件可拦截HTTP请求,并通过HTML形式报告公布的数据,如用户名和密码,到一台远程服务器。
恶意软件对PoC业务并不特别危险,因为任何有足够的机会来改变一个覆盖文件的攻击者已经可以针对系统做出任何手段。
安全研究员Rafal Los 促使Mozilla重新审查其插件中的安全架构,在上周四一个关于Silva的PoC业务代码博客帖子中说“真正重要的是,这次袭击Firefox表面通过插件或扩展架构,从安全的角度看,我个人认为是有根本性的缺陷。”
本文国际来源