Komoly homokvárat épít az új Firefox

A Firefox 57-es kiadása számos jelentős újdonságot tartogat. Ezek közül most egy fontos biztonsági megoldást veszünk szemügyre.
 

A Firefox 57-es verziója kapcsán már korábban is sokat lehetett hallani. Ez pedig elsősorban annak az új, Quantum böngészőmotornak köszönhető, amelyhez a Mozilla nagyon komoly reményeket fűz. Ez az eddigi, Gecko motort váltja, és sokkal hatékonyabban támogatja a többszálú, több processzormagon futtatott műveletvégrehajtást.
 
Ugyanakkor a Firefox 57-re nem kizárólag a Quantum miatt érdemes frissíteni. Az ugyanis a sandbox alapú védelem terén is fejlődött, különösen, ami a Linux kompatibilis kiadását érinti. Az elmúlt években megtapasztalhattuk, hogy a Mozilla a sandbox terén elsősorban a Windows-t részesítette előnyben, ami abból a szempontból érthető is, hogy a legtöbb felhasználó ezen az operációs rendszeren futtatja a böngészőt, és a Windows esetében merül fel több kockázat. Azonban a sandboxot a Linux alatt sem célszerű félvállról venni.
 
Hosszú út
 
A Firefox a sandbox védelemmel már évekkel ezelőtt elkezdett barátkozni, azonban kezdetben csak a néhány bővítményt futtatott ebben az izolált környezetben. Így például a Flash Playert, illetve egyes DRM, valamint multimédiás kiegészítőket. Aztán az évek során sokat fejlődött ez a technológia, és egyre több rendszererőforrást kezdett oltalmazni a weboldalakon keresztül végrehajtatott támadásoktól.
 
A fejlettebb sandbox azonban eddig a Linuxot támogató kiadásból hiányzott. Az 57-es kiadás azonban e téren is megújult, és immár egy jóval hatékonyabb "háló" védi a fájlokat, illetve a különféle folyamatokat a böngészőn keresztül indított támadásokkal szemben.
 
A Mozilla fejlesztői úgy nyilatkoztak, hogy Linux alatt nehezebb volt kialakítani az új sandboxot. Ennek pedig az egyik oka, hogy ezen operációs rendszer alatt változatosabbak a konfigurációk, és a linuxos világban az egyedi beállítási lehetőségekkel szemben is nagyobbak az elvárások. Ezért az új sandbox a böngésző konfigurációs oldaláról (about:config) testre szabható.
 
Alapvetően négyféle védelmi szint (security.sandbox.content.level) létezik. A nulladik szint a kikapcsolt sandboxot jelenti, majd a biztonsági megkötések egyre szigorodnak. Először a rendszerhívások, majd a fájlok írása, végül az állományok olvasása is korlátozottá válik. Szerencsére azonban ennél mélyebb szinten is módosítható a sandbox működése. Mindezt fehérlisták összeállításával lehet megtenni, amelyek kiterjedhetnek a rendszerhívásokra, a folyamatokra és a fájlokra. Utóbbiak esetében az írási és az olvasási hozzáférés két különböző fehérlistával kontrollálható.