FireFox tậu "áo giáp" chống tấn công trên nền web

Thảo luận trong 'Thông tin công nghệ' bắt đầu bởi thankailo, 10 Tháng mười 2009.

  1. Offline

    thankailo

    • Friends

    Số bài viết:
    374
    Đã được thích:
    208
    Điểm thành tích:
    140
    Một công nghệ mới mang tên Content Security Policy được Mozilla công bố sẽ giúp trình duyệt FireFox giảm thiểu các cuộc tấn công trên nền web.

    [IMG]
    Thử nghiệm công nghệ Content Security Policy từ Mozilla

    Công nghệ Content Security Policy (CSP - Chính sách bảo mật nội dung) có thể được xem là một tiêu chí được Mozilla khởi xướng hướng đến các nhóm lập trình viên phát triển hay các nhóm quản trị website và ứng dụng do nhóm đối tượng này có thể xác định nội dung nào trên website hay nội dung nào trong ứng dụng trực tuyến là hợp lệ, họ có thể chỉ định cách thức tương nội dung trên chính website của mình.

    CPS cho phép các người quản trị phát triển web gửi những tín hiệu thông báo đến trình duyệt những tên miền nào được chấp nhận là nguồn đáng tin cậy. Trình duyệt cũng dựa vào CSP mà cho phép thực thi các mã từ các tên miền nằm trong danh sách an toàn (whitelist), mọi thứ khác sẽ bị khóa.

    Một bản thử nghiệm của FireFox áp dụng Content Security Policy dành cho Windows, Windows Mobile, Mac hay Linux đã được gửi đến các nhóm phát triển để kiểm tra hiệu quả, rất có thể CSP cũng sẽ được đưa vào phiên bản FireFox 3.6 hoàn thiện ra mắt vào tháng 11 tới.

    Bạn đọc quan tâm muốn thử nghiệm có thể tải về bản trình duyệt FireFox có tích hợp CSP tại đây thử nghiệm kiểm tra CSP tại đây, cần lưu ý đây chỉ là bản thử nghiệm dành cho đối tượng là các lập trình viên phát triển, không dành cho người dùng cuối.

    Thông qua CSP có thể khóa bất kỳ mã độc nào được tin tặc gán vào các website bị chiếm quyền điều khiển, những website hoặc ứng dụng trực tuyến do chính tin tặc tạo ra nhằm tấn công vào máy tính khách truy cập.

    Loại tấn công này thường được gọi thông dụng là tấn công Cross-site-scripting (XSS), khai thác các lỗi bảo mật trong những ứng dụng web để thực thi mã JavaScript từ trình duyệt với những quyền hạn của các tên miền hợp lệ.

    Thực chất, công nghệ này gần giống với một plug-in khá nổi tiếng của FireFox là NoScript. Nó cho phép người dùng thiết lập khóa các mã Javascript, Java, Flash hay plug-in khác có thể bị lạm dụng bởi tin tặc.

    Điểm khác biệt chủ yếu là với CSP, website sẽ tự quyết định chính sách bảo mật thay vì phải lần lượt thực hiện các thao tác thủ công mà NoScript yêu cầu người dùng quyết định.

    Nhóm xây dựng CSP từ Mozilla cũng mời các hãng phát triển trình duyệt khác như Microsoft (Internet Explorer), Google (Chrome)... tham gia nhưng chưa có những phản hồi cụ thể.

    Mozilla phát hành dịch vụ kiểm tra plug-in cho FireFox

    Sau sự thành công đáng kể khi đưa tính năng kiểm tra phiên bản Flash nhằm khuyến cáo người dùng cập nhật bảo mật kịp thời, Mozilla đã quyết định xây dựng một dịch vụ độc lập mang tên Plug-in Finder Service trên website của mình.

    [IMG]
    Dịch vụ Plug-in Finder thông báo các plug-in nào đã có phiên bản mới cần nâng cấp

    Dịch vụ này sẽ kiểm tra các plug-in được cài đặt trong trình duyệt FireFox xem chúng có phải là phiên bản mới nhất hay không. Nếu có một phiên bản mới hơn, dịch vụ sẽ khuyến cáo người dùng nên cập nhật nhanh gọn chỉ với 1 cú click chuột. Theo đó, người dùng không còn phải bận tâm về các lỗ hổng bảo mật từ những phiên bản plug-in không được cập nhật kịp thời.

    Ngoài việc kiểm tra Adobe Flash, Plug-in Finder Service còn kiểm tra các plug-in thông dụng như Adobe Reader, QuickTime, Windows Media Player, Java... Tương tự công nghệ CSP, Mozilla sẽ tích hợp PFS2 vào FireFox 3.6 sắp ra mắt.

    Ý tưởng này của Mozilla không mới, người dùng sử dụng FireFox lâu năm đều biết FireFox có add-on Update Notifier thông báo cập nhật khi các add-on, plug-in cài đặt trong FireFox có phiên bản mới.

    Firefox 3.6 và FireFox 3.7 lộ diện, chưa có FireFox 4.0

    Bản thử nghiệm của FireFox 3.6 sẽ có mặt vào ngày 13-10 tới đây, cho phép người dùng trải nghiệm với giao diện cùng những cải tiến mới về tốc độ duyệt web. Một số điểm đáng chú ý trong FireFox 3.6 bao gồm: theme nhẹ hơn, xử lý JavaScript nhanh hơn (cải tiến TraceMonkey), cải tiến các công cụ tự động điền biểu mẫu (form), đồng bộ hóa bookmark, bổ sung một số CSS mới, tối ưu hóa chức năng khôi phục session và rút ngắn thời gian tải trang.

    Hiện cư dân mạng chuyền nhau dùng thử phiên bản FireFox 4.0 alpha thử nghiệm đầu tiên. Tuy nhiên, Mozilla hiện chưa cung cấp phiên bản FireFox 4.0 alpha 1, thay vào đó là phiên bản FireFox 3.7 alpha 1. Theo lộ trình phát hành của Mozilla thì FireFox 4.0 sẽ ra mắt vào tháng 10 hay 11-2010.

    Một số phiên bản thử nghiệm Mozilla đã xây dựng có thể tải về dùng thử:

    - FireFox 3.6 alpha 2 http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.6a2-candidates/build2/source/

    - FireFox 3.7 alpha 1 http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-mozilla-central/firefox-3.7a1pre.en-US.win32.installer.exe | phiên bản tiếng Việt tại đây http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-mozilla-central-l10n/firefox-3.7a1pre.vi.win32.installer.exe

    - FireFox 3.5.5 preview http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-firefox-3.5.x/firefox-3.5.5pre.en-US.win32.installer.exe

Chia sẻ trang này

Advertising: Linux system admin | nukeviet | nukeviet 4 | Upload ảnh miễn phí