פתרונות של מגזין PC: האם אתה בטוח יותר עם Firefox?

האם Firefox הוא דפדפן אינטרנט מאובטח יותר מ- Internet Explorer של מיקרוסופט? התשובה עשויה להיות כן, אבל הנושאים מורכבים יותר מכפי שרוב האנשים מבינים. למעשה, לפיירפוקס יש את חלקה בבעיות אבטחה, וככל הנראה ניצל מהתקפה בעולם האמיתי עד כה רק על ידי נתח השוק החד ספרתי שלה.

בסוף פברואר פרסמה ארגון מוזילה את העדכון הראשון ל- Firefox, גרסה 1.0.1 (www.getfirefox.com). במהדורה החדשה אין שום מאפיינים חדשים של הערה, אך היא אכן תיקנה 17 נקודות תורפה המתועדות בגירסה 1.0. (www.mozilla.org/projects/security/known-vulnerabilities.html). המפורסם ביותר היה באג לזיוף כתובות URL שכלל כתובות אתרים עם שמות דומיין בינלאומיים (IDN - www.mozilla.org/security/announce/mfsa2005-29.html). בעיקרון, תוקף יכול היה להקים אתר שהיה להופעות כלפי חוץ אותה כתובת אתר כמו אתר אחר (כמו www.ebay.com), אך למעשה שם הדומיין יהיה בערכת תווים בינלאומית, ולא באנגלית. (מוזילה ממש לא פיתרה את הבעיה הזו, שהיא פחות באג בתוכנה מאשר בעיה בכל הגישה ל- IDN; במקום זאת, גרסה 1.0.1 פשוט מבטלת כברירת מחדל את תמיכת IDN).

כנראה שלא קראת על אף אחד מאותם באגים לפני העדכון. הסיבה לכך היא שרק לאחרונה ארגון מוזילה החל להנפיק יועצי אבטחה מהסוג שמוציאה מיקרוסופט מדי חודש (ראה www.mozilla.org/security/announce). לרוב מוזילה לא הסתירה את הבאגים הללו לפני פרסום מודעות, אך היא גם לא פרסמה אותם. אם אתה יודע איפה ואיך לחפש, אתה יכול לקבל תמונה טובה יותר של באגי אבטחה (ואחרים) בפיירפוקס ובפרויקטים אחרים של מוזילה בכתובת bugzilla.mozilla.org, בסיס הנתונים הבאגי הרשמי לפיתוח מוזילה. אבל גם כאן הארגון אינו פתוח לחלוטין לגבי באגי אבטחה; כאשר מדווחים על חדשים, בדרך כלל הערכים בבוגזילה הופכים לפרטיים במשך זמן מה בזמן שהם נחקרים ומתוקנים.

ובניגוד למיקרוסופט, כאשר מוזילה מתקנת באג היא לא משחררת טלאי למשתמשים. אם אתה רוצה לדבוק בתוכניות ברמת שחרור, האפשרות היחידה שלך היא לחכות לשחרור הכללי הבא; השדרוג לגרסה 1.0.1 מ- 1.0 ארך כ -3.5 חודשים. ניתן להתקין מבנה ביניים של התוכנית (ה- builds הלילי זמינים ב ftp.mozilla. Org / pub / mozilla.org / firefox / nightly / last-trunk /), אך אלה אינן גרסאות מהדורה רשמיות וכדאי שתצפו מהן להיות באגים אחרים; ככל שתקבל תמיכה בפיירפוקס, זה יתערער על ידי השימוש שלך במבנה ביניים.

ב- Firefox עבור Windows אתה יכול להגדיר את האפשרויות ב Tools | אפשרויות | עדכון תוכנה לבדיקת שרתי Firefox מדי פעם אם קיימים עדכונים לתוכנית. הוא ימצא את גרסת 1.0.1, אך כל מה שהוא יעשה זה להוריד את כל התוכנית ולהפעיל את המתקין. בגירסת לינוקס תוכלו לעדכן רק הרחבות וערכות נושא, ולא את קוד התוכנית.

ויש כבר בעיות אבטחה בגירסה 1.0.1, גם אם אין עדיין יעוץ עבורן. לדוגמה, במכונה מרובת משתמשים, כמו מערכת לינוקס, אם משתמש אחד הפועל כשורש מפעיל את Firefox, ומשתמש אחר שאינו שורש מפעיל את Firefox, מופע Firefox של המשתמש שאינו שורש זוכה להרשאות שורש (bugzilla.mozilla.org/ show_ bug.cgi? id = 247412).

• Mozilla Firefox 1.0
• 15 התוספים המובילים של Firefox
• תמיכה בסרגל הכלים של יאהו -
• מהפך האבטחה העיקרית -

יתר על כן, קשה למשתמשים לא לבדוק את האישור של סיומת חתומה בזמן ההתקנה (bugzilla.mozilla.org/show_bug.cgi?id=278629), כך שלספר יכול להיות זמן קל להתחמק מהעמדת פנים שהוא מקור מהימן. ישנם גם מספר באגי ריסוק, כגון bugzilla.mozilla.org/show_ bug.cgi? Id = 263609, ולעיתים קרובות אלה מצביעים על פגיעות ניתנת לניצול מאחורי הקלעים.

לבסוף, חברות אנטי-ריגול Webroot ו- Sunbelt Software אמרו כי הן מצפות כי תוכנות ריגול ספציפיות לפיירפוקס יתחילו להופיע השנה, ואם נתח השוק של הדפדפן ימשיך לגדול, קל לראות מדוע זה יתקיים. אז אל תשכחו לעדכן ואל תנוחו על זרי הדפנה של פיירפוקס. אתה לא חף מבעיות אבטחה, יש לך פשוט בעיות שונות.

לארי סלצר, תורם תדיר למגזין PC, כותב את הידיעון של Security Watch עבור pcmag.com.