(in) Secure er en ukentlig kolonne som dykker inn i det raskt eskalerende emnet cybersikkerhet.
Av alle nettlesere har Firefox den lengste historien med å holde sikkerheten i front, både teknisk og filosofisk. Nettlesers morselskap, Mozilla, er en aktiv deltaker i mange cybersikkerhetsinitiativer. Den reiste sak mot FCC på grunn av nettneutralitet, adopterte ivrig Ikke følg når den debuterte, og har inngått samarbeid med The Washington Post for å forbedre online kommentarer.
Dave Camp, visepresident for ingeniørvitenskap i Mozilla. Mozilla Nylige hendelser det siste året har satt et nytt, intenst søkelys på sikkerhet og personvern, ettersom nesten alle har blitt påvirket av sikkerhetsproblemer nylig - det være seg en prosessorsikkerhetsfeil eller brudd på et større selskap, som Equifax.
Denne ukens spalte er et intervju med Dave Camp, visepresident for ingeniørfag, Mozilla hos Firefox. Vi besøkte Mozillas Portland, Oregon-kontor for å diskutere truende sikkerhetstrusler, som Meltdown og Spectre-feil som påvirker Intel-prosessorer, og Facebooks personverndebakel.
Digitale trender: Nyere problemer som Meltdown og Ryzenfall har gjort at det ser ut til at det er en mengde sikkerhetsproblemer som lurer i hver enhet. Som nettleserutvikler, hvordan reagerer du på et problem som det, som påvirker maskinvare på et veldig lavt nivå?
Dave Camp: Det første vi gjør er når vi hører disse tingene, finner vi ut hva vi kan gjøre for å raskt dempe problemet. Så når vi for eksempel først fant ut om Meltdown og Spectre, er det raskeste vi klarte å bare endre oppløsningen til timerne våre slik at det var vanskeligere for angripere å dra nytte av det.
Nettlesere er i en unik posisjon. Vi må være den første forsvarslinjen.
Deretter jobber vi med andre nettleserleverandører, vi finner rettelser, vi gjør vårt beste for å omgå det, og vi oppfordrer brukere til å oppgradere - men med Spectre er det ikke alltid mulig. Vi gjør vårt beste for å samarbeide med sikkerhetsforskere og andre nettleserleverandører for å finne rettelser og rulle dem ut raskt.
Nettlesere er i en unik posisjon fordi det er vår jobb å ta utroskapskode og kjøre den på maskinen din. Og så mange ganger må vi være den første forsvarslinjen. Selv om det er maskinvareleverandørens ansvar, har vi et ansvar overfor brukerne våre for å gjøre det vi kan for å redusere disse angrepene.
I dag lanserte Mozillas Firefox et nytt Facebook Container-tillegg for å forhindre sporing av sosiale medier, noe jeg syntes var en interessant utvikling. Fra et ingeniørperspektiv, hvordan fungerer et tillegg som det?
Firefox hadde en funksjon i motoren vår en stund kalt Firefox-containere. Hva containerne gjør er at de isolerer ting som informasjonskapsler og økter til en bestemt fane på et bestemt nettsted. Så når du installerer en Facebook-container, sørger den for at når som helst du besøker Facebook.com, setter den opp nye økter og setter opp nye informasjonskapsler.
Det er ikke deling av disse informasjonskapslene med andre faner. La oss si at du navigerer bort fra Facebook til Food.com. Hvis Food.com laster inn en Facebook pluss en knapp, ser Facebook vanligvis den informasjonskapselen, kan knytte den til påloggingen din på Facebook og kan spore deg på den måten. Fordi denne beholderen går ned til bare Facebook.com, når du går til Food.com og ser en pluss en knapp på Facebook, ser den ikke at du er logget inn. Den prøver å holde separate applikasjoner atskilt slik at de kan ikke se hverandre og forhindre Facebook i å få informasjon fra dette nettstedet.
Er containerfunksjonens kjerne til Firefox, eller noe bare aktivert av dette tillegget?
Nettleseren har denne funksjonaliteten som ikke er utsatt for brukere. Vi har prøvd forskjellige måter å avsløre det på. Et annet tillegg som bare kalles Firefox-containere, lar deg konfigurere alt dette og finne ut hvordan du vil konfigurere containerne.
Facebook er et spesielt interessepunkt akkurat nå
Facebook er et spesielt interessepunkt akkurat nå, så vi bygget dette tillegget og tilpasset det til Facebook slik at brukerne vet hvordan de skal samhandle med det.
Tillegget til kjernecontainere som vi allerede har publisert, er ganske avansert og forstår hva du vil gjøre, så vi har nettopp gitt ut dette som er enkelt for Facebook.
Redaktørens merknad: Firefox pekte oss på et blogginnlegg som forklarer funksjonen grundig.
Hvordan passer Quantum inn i din innsats? På ytelsesnivå er den bygget for bedre bruk av flere kjerner - men hva gjør det for sikkerhet og personvern?
Firefox Quantum representerte virkelig denne revurderingen av hvordan vi bygger nettleseren og hvordan vi tar hensyn til ytelse. Vi bruker vanligvis ikke Quantum-prosjektet som en frigjøring av sikkerhetsfunksjoner, men vi har en sikkerhetskart som kjører sammen med Quantum-prosjektet.
Det viktigste stykket vi har der er innholdsprosess sandboksing. Vi jobber med operativsystemet for å si "dette er ikke klarert", slik at operativsystemet kan prøve å forhindre at nettleseren kompromitterer systemet. Det er et ekstra sikkerhetslag rundt sikkerheten vi prøver å gjøre i nettleseren.
Når vi jobber med sikkerhetsprogrammet vårt neste år, jobber vi med å stramme inn sandkassen for å finne flere måter å få operativsystemet til å hjelpe oss å være sikre.
Hva tror du er det neste store sikkerhetsproblemet som nettleserutviklere bør ta på seg som et fellesskap?
Jeg tror alle nettlesere må bruke betydelig tid på å forstå Spectre-sårbarhetene. Det kommer til å ta mye arbeid, og vi bruker mye tid på å forstå hvordan det fungerer, og alle implikasjonene av det.
Dette intervjuet er redigert og kondensert for klarhet.
