视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
Firefox是否比Microsoft的Internet Explorer更安全的Web浏览器? 答案可能是肯定的,但是问题比大多数人意识到的要复杂。 实际上,Firefox存在着很多安全问题,到目前为止,仅靠其个位数的市场份额就可以避免遭受实际攻击。
2月下旬,Mozilla组织发布了Firefox的第一个更新版本1.0.1(www.getfirefox.com)。 新版本中没有新的注释功能,但是它确实修复了1.0版中记录的17个漏洞。 (www.mozilla.org/projects/security/known-vulnerabilities.html)。 最著名的是URL欺骗漏洞,其中涉及带有国际化域名的URL(IDN-www.mozilla.org/security/announce/mfsa2005-29.html)。 基本上,攻击者可以建立一个站点,该站点的外观与另一个站点相同(例如www.ebay.com),但实际上域名是国际字符集,而不是英语。 (Mozilla实际上并没有解决此问题,这不是程序中的错误,而是整个IDN的方法所带来的问题;相反,版本1.0.1仅在默认情况下禁用了IDN支持。)
在更新之前,您可能没有听说过任何这些错误。 这是因为Mozilla组织直到最近才开始发布Microsoft每月发布的那种安全公告(请参阅www.mozilla.org/security/announce)。 在大多数情况下,Mozilla都不会在发布公告之前隐藏这些错误,但是也没有公开它们。 如果您知道在哪里以及如何看待,可以通过bugzilla.mozilla.org(Mozilla开发的官方错误数据库)更好地了解Firefox和其他Mozilla项目中的安全(和其他)错误。 但是即使在这里,该组织也不完全了解安全漏洞。 当报告新条目时,通常会在Bugzilla中对条目进行一段时间的私有化,然后对其进行调查和修复。
与Microsoft不同的是,当Mozilla修复错误时,它不会为用户发布补丁。 如果要坚持使用发行版程序,则唯一的选择是等待下一个常规发行版。 从1.0升级到1.0.1版本花费了大约3.5个月的时间。 您可以安装该程序的临时内部版本(每晚的版本可在ftp.mozilla。org / pub / mozilla.org / firefox / nightly / latest-trunk /中找到),但是这些不是正式发行版本,您应该期待它们还有其他错误; 在一定程度上获得了对Firefox的支持,如果您使用过渡版本,将会破坏它。
在Windows版Firefox中,您可以在“工具” |“ 选项| -高级-|软件更新以定期检查Firefox服务器是否有程序更新。 它将找到版本1.0.1,但是它所要做的就是下载整个程序并启动安装程序。 在Linux版本上,您只能更新扩展和主题,而不能更新程序代码。
1.0.1版中已经存在安全问题,即使目前尚无建议。 例如,在多用户计算机(例如Linux系统)上,如果一个用户以root身份运行Firefox,而另一个非root用户启动Firefox,则该非root用户的Firefox实例将获得root特权(bugzilla.mozilla.org/ show_ bug.cgi?id = 247412)。
- Mozilla Firefox 1.0 Mozilla Firefox 1.0
- 排名前15的Firefox扩展排名前15的Firefox扩展
- Firefox获得Yahoo工具栏支持Firefox获得Yahoo工具栏支持
- Firefox获得重大安全改造Firefox获得重大安全改造
此外,对于用户而言,在安装时检查签名扩展的证书非常困难且显而易见(bugzilla.mozilla.org/show_bug.cgi?id=278629),因此,欺骗者可能很容易摆脱假装值得信赖的来源。 还有许多崩溃错误,例如bugzilla.mozilla.org/show_ bug.cgi?id = 263609,这些错误通常表明背后存在可利用的漏洞。
最后,反间谍软件公司Webroot和Sunbelt Software表示,他们预计特定于Firefox的间谍软件将在今年开始出现,如果浏览器的市场份额继续增长,则很容易理解为什么会这样。 因此,不要忘记进行更新,也不要因Firefox的桂冠而停滞不前。 您并非没有安全问题,只是有不同的问题。
Larry Seltzer是PC Magazine的经常撰稿人,他为pcmag.com撰写了《安全观察》时事通讯。
