Інтерв’ю з Дейвом Кемпом, віце-президентом з питань інженерії, Firefox у Mozilla

речі проекту mozilla

(in) Secure - це щотижнева рубрика, яка заглиблюється в тему, що швидко зростає, про кібербезпеку.

З усіх браузерів Firefox має найтривалішу історію збереження безпеки як в технічному, так і в філософському плані. Батьківська компанія браузера Mozilla бере активну участь у багатьох ініціативах з кібербезпеки. Він подав позов проти Федеральної комісії зв'язку США щодо нейтралітету мережі, охоче прийняв "Не відстежувати", коли він дебютував, і співпрацює з The Washington Post покращити коментарі в Інтернеті.

Дейв Кемп, віце-президент з інжинірингу Mozilla. Mozilla

Нещодавні події минулого року поставили новий, інтенсивний центр уваги на безпеку та конфіденційність, оскільки нещодавно майже кожна людина торкнулася проблеми безпеки - будь то недолік безпеки процесора або порушення такої великої компанії, як Equifax.

Колонка цього тижня - це інтерв’ю з Дейвом Кемпом, віце-президентом з питань інжинірингу Mozilla у Firefox. Ми відвідали офіс Mozilla в Портленді, штат Орегон, щоб обговорити нагромаджуючі загрози безпеці, такі як дефекти Meltdown та Spectre, що впливають на процесори Intel, та розлад конфіденційності Facebook.

Цифрові тенденції: нещодавні проблеми, такі як Meltdown і Ryzenfall, дають змогу зробити вигляд, що на кожному пристрої існує безліч проблем безпеки. Як розробник браузера, як ви реагуєте на таку проблему, яка впливає на апаратне забезпечення на дуже низькому рівні?

Дейв Кемп: Перше, що ми робимо, це коли ми чуємо це, ми з’ясовуємо, що ми можемо зробити, щоб швидко пом’якшити проблему. Отже, коли ми вперше дізналися про Meltdown і Spectre, наприклад, найшвидше, що ми змогли зробити, це просто змінити роздільну здатність наших таймерів, щоб зловмисникам було важче цим скористатися.

Браузери знаходяться в унікальному положенні. Ми повинні бути першою лінією оборони.

Потім ми працюємо з іншими постачальниками веб-переглядачів, знаходимо виправлення, робимо все можливе, щоб обійти це, і закликаємо користувачів оновити систему - хоча за допомогою Spectre це не завжди можливо. Ми робимо все можливе, щоб співпрацювати з дослідниками безпеки та іншими постачальниками браузерів, щоб знайти виправлення та швидко їх випустити.

Браузери знаходяться в унікальному положенні, оскільки наша робота - взяти ненадійний код і запустити його на своїй машині. І тому, багато разів нам доводиться бути першою лінією оборони. Навіть якщо це відповідальність постачальника обладнання, ми несемо відповідальність перед своїми користувачами робити все можливе, щоб пом’якшити ці атаки.

Сьогодні Firefox Mozilla запустив нове доповнення Facebook Container для запобігання відстеженню соціальних мереж, що, на мою думку, було цікавою подією. З інженерної точки зору, як надбудова подобається цій функції?

Firefox деякий час містив функцію в нашому двигуні, яка називалася контейнерами Firefox. Контейнери роблять те, що вони ізолюють такі речі, як файли cookie та сеанси, до певної вкладки на певному сайті. Отже, коли ви встановлюєте контейнер Facebook, він переконується, що кожного разу, коли ви відвідуєте Facebook.com, він налаштовує нові сеанси та налаштовує нові файли cookie.

Це не спільне використання цих файлів cookie з іншими вкладками. Отже, скажімо, ви переходите від Facebook до Food.com. Якщо Food.com завантажує кнопку Facebook плюс одна, зазвичай Facebook бачить цей файл cookie, може пов’язати його з вашим логіном у Facebook і може відстежувати вас таким чином. Оскільки цей контейнер охоплює лише Facebook.com, коли ви заходите на Food.com і бачите кнопку плюс один на Facebook, він не бачить, що ви ввійшли в систему. Він намагається тримати окремі програми окремими, щоб вони не можуть бачити одне одного і заважати Facebook отримувати інформацію з цього сайту.  

Ядро функції контейнера для Firefox чи щось увімкне лише цей надбудова?

Веб-переглядач має таку функціональність, яка не доступна для користувачів. Ми пробували різні способи викрити це. Ще одне доповнення, яке називається тільки контейнери Firefox, дозволяє вам налаштувати все це та зрозуміти, як ви хочете налаштувати свої контейнери.

Зараз Facebook є особливою цікавиною

Зараз Facebook є особливою цікавиною, тому ми створили цю надбудову та налаштували її на Facebook, щоб користувачі знали, як з нею взаємодіяти.

Додаток до основних контейнерів, яке ми вже опублікували, досить вдосконалене і розуміє, що ви хочете зробити, тому ми щойно випустили цей, простий для Facebook.

Примітка редактора: Firefox вказав нам на допис у блозі, який детально пояснює цю функцію.

Як Quantum вписується у ваші зусилля? На рівні продуктивності він створений для кращого використання кількох ядер - але що він робить для безпеки та конфіденційності?

Firefox Quantum справді представляв це переосмислення того, як ми будуємо браузер і як ми звертаємо увагу на продуктивність. Ми зазвичай не використовуємо проект Quantum як випуск функцій безпеки, але у нас є дорожня карта безпеки, яка працює поряд із проектом Quantum.

Основна частина, яку ми маємо там, - це тестовий процес із пісочницею. Ми як би працюємо з операційною системою, щоб сказати „цьому не довіряють”, щоб ОС могла спробувати завадити браузеру зламати систему. Це додатковий рівень безпеки навколо безпеки, яку ми намагаємось зробити у браузері.

Опрацьовуючи нашу програму безпеки з наступним роком, ми працюємо над тим, щоб посилити нашу пісочницю, щоб знайти більше способів отримати операційну систему, яка допоможе нам бути в безпеці.

Як ви вважаєте, якою є наступна велика проблема безпеки, яку розробники браузерів повинні взяти на себе як спільнота?

Я думаю, що всім браузерам доведеться витратити значний час на розуміння вразливостей Spectre. Це займе багато роботи, і ми витрачаємо багато часу, розуміючи, як це працює, та всі його наслідки.

Це інтерв’ю було відредаговано та скорочено для ясності.

Останні повідомлення

$config[zx-auto] not found$config[zx-overlay] not found