深入瞭解 FireFox 九、火狐的安全

以下將會分為幾個章節來探討這個瀏覽器:

一、常用的附加元件
二、少用的附加元件
三、Plug-in 外掛程式
四、搜尋引擎
五、GreasMonkey 增強網頁功能!
六、免安裝版與精簡 Firefox 來加速啟動
七、userChrome.js 功能的強化
八、userChrome.css & userContent.css 介面的修改
九、火狐的安全
十、編譯版、參數、雜項跟加速
十一、自製皮膚
十二、總結

九、火狐的安全

常有人說火狐火狐安全好什麼的,讓我們看看幾篇新聞的摘要。
要注意,世界上沒什麼叫做絕對安全的!最重要的還是自己的警覺心。

在此引述維基百科對火狐的安全性摘要:

Firefox使用了「沙盒安全模組」(Sandbox Security Model),限制了網頁腳本語言對使用者端資料的存取,保護使用者不受惡意腳本語言的攻擊。對於網頁資料的傳輸,則使用SSL/TLS的加密方式來保障使用者和網站之間傳輸資料的隱密性,此外也支援智慧卡來當作資料驗證的方式。

從Firefox 2.0起Mozilla就與Google一起合作為使用者提供反釣魚保護,當Firefox 2.0在遇到釣魚網站後使用者可馬上得到提示。Firefox的黑名單來自於Google搜尋中的SafeBrowsing Protocol,而從2009年的1月20日起Google正式關閉Firefox 2.0的反釣魚技術,但是對Firefox 3依然提供保護。

Mozilla基金會提供了「臭蟲獎金」來獎勵發現Firefox漏洞的研究者。 Mozilla官方希望安全弱點可以在被惡意利用之前被發現,進而去修正他,避免使用者遭受攻擊

因為Firefox比起Internet Explorer來說有較少尚未修正的安全漏洞,因此提昇上網安全性也常常被認為是鼓勵使用者由Internet Explorer轉換到Firefox的理由之一。《華盛頓郵報》也報導在2006年一年之中,Internet Explorer共有284天讓使用者暴露在未修正的安全漏洞中,而Firefox只有9天[32]。

一份2006年賽門鐵克(Symantec)公司的報告顯示,到該年9月為止,雖然 Firefox的安全漏洞比其他瀏覽器還多,但修正漏洞的速度也讓其他瀏覽器望塵莫及。賽門鐵克(Symantec)公司之後則澄清他們的描述,在經過安全性的研究後,Firefox比起Internet Explorer來說安全漏洞還是比較少。到2008年3月26日為止, 根據軟體安全統計網站Secunia的資料顯示,Firefox 2有4個尚未修正的安全漏洞,多數被標示為「低度危險」。相對的Internet Explorer 7卻有8個安全漏洞尚未修正,且多數被標示為「中度危險」[36]。甚至有安全專家建議微軟IE升級模式效仿Firefox瀏覽器,如果在現行版本中發現重大安全漏洞,就應即時釋出漏洞更新。

但是在2008年12月的一份由美國著名的安全公司Bit9列舉了12個包含漏洞最多的主流應用軟體中,Firefox卻被列在了榜首。與其一起入榜的還有Apple的iTunes,QuickTime、Safari瀏覽器,Adobe的Flash和Acrobat。而隨後Mozilla的Johnathan Nightingale稱那份方法似乎有點問題特別是關於修補程式的部分,所以並不能得出有意義的結論。

馬上又有Secunia的報告指出Firefox已經成為世界上漏洞最多的網頁瀏覽器,威脅數達到驚人的115,而與此同時,IE/safari /Opera則旗鼓相當,都為30個多一點。

由於Flash經常會爆出一些漏洞從而引發瀏覽器失守導致使用者被駭客攻擊,在Firefox 3.5.3和3.0.14版本中已經包含一個新功能,自動檢查Adobe Flash的更新並提醒使用者安裝最新版本的外掛。

Firefox 與綠霸

標題皆有文章來源鍵結!歡迎進入原文網站觀看全文!!

引述ZDNet新聞專區摘要:瀏覽器擴充套件會把你的Google搜尋紀錄洩漏給Amazon

我原先推薦使用Invisible Hand瀏覽器擴充套件(browser extension),但本週發生的一件事讓我改變主意,而這件事也提醒我們,網路上隱私不保的問題不只發生在Facebook,在其他網站上也可能發 生。ZDNet新聞專區:Rafe Needleman

我先是在Google上查詢某項產品的訊息,但後來連上Amazon網站時,赫然發現Amazon已迅速地把我在Google上查詢的那項產品列入「最近 瀏覽過的」(Recently Viewed)清單。

Invisible Hand擴充套件在Google Chrome瀏覽器動了手腳。在Internet Explorer上安裝Invisible Hand,也會發生同樣的問題。 Firefox因為有一項功能阻止目標網站使用背景查詢時留下的cookies,所以不受影響。
~~中略~~
最後,我必須提醒使用者,在各種瀏覽器、網站與擴充套件之間的互動很複雜,很可能導致跨網站資料外洩情況,即使相關的網路公司都是你所信賴的也一樣。使用者務必瞭解,代你在背景執行任務的服務,可能跟別的網站分享你的資料,而這些資料也許是被你視為個人私密或已被隔離起來的資料。

(唐慧文譯)

引述ITHOME摘要:駭客年會:揭露Firefox安全問題

~~前略
Unohope表示,在現實生活上,惡意瀏覽器出現的機率不高,但在實務攻擊上,將惡意的攻擊手法以瀏覽器附加元件(Extension)或外掛(Plug-In)的形式偽裝,成功率就會很高。

也因為火狐狸有許多外掛,另一位講師Ant,目前也是中央研究院資訊科技研究所工程師曾義峰表示,不安全的附加元件讓瀏覽器也不安全,例如FFsniFF 這個附加元件,會在附加元件表單中自我隱藏,也會自動化將表單(Form)內容經由SMTP對外傳遞,而且,這個附加元件到今年6月,也升級到支援 Firefox 3.0。此外,有某些RSS被植入惡意程式,用先前有漏洞傳出的RSS閱讀器Sage來讀取,就會對瀏覽器造成影響;而Firebug先前也傳出有漏洞,可導致Cross Zone Script攻擊
後略~~

文/黃彥棻 (記者) 2008-08-06

Firefox UFO

引述資安之眼摘要:Secunia:去年Firefox漏洞最多但補得也最快

Secunia去年調查的瀏覽器漏洞數,其中Opera最少為30個,IE有31個,Safari有32個,而Firefox則有115個。
雖然Firefox的漏洞數量居冠,但Secunia調查發現,Mozilla修補零時差漏洞的速度比微軟快上許多。Mozilla在去年修補了所有現身的3個零時差漏洞,其中一個漏洞在15天內便修補,最長的修補時間為86天。
~中略~
該調查亦發現,瀏覽器外掛程式最常出現的安全漏洞來自ActiveX元件,在逾40種不同的程式中發現了366個有漏洞的ActiveX元件,其他躍上榜單的還有Java(54個)、QuickTime(30)個及Flash(19個)。
後略~~

編譯/陳曉莉 03/06/2009

FirefoxSky

引述Mozilla Links摘要:Firefox 發現有害套件?火狐是否不再安全?

~~前略
相較於市面上最普遍的 IE 而言,Firefox 的安全性仍然遠遠超出其之外,也不輸給其餘網路瀏覽器。我的兩點理由如下:

一、較高的漏洞修補率:上個月駭客透過 IE 漏洞入侵 Google 及其餘公司,導致 多國政府呼籲改用它種瀏覽器 的事件至今仍未落幕;而 Firefox 在 Secunia 公司弱點資料庫的修補率,包含 Firefox 3.0、3.5、3.6 皆為 100%(Opera 10 與 Google Chrome 4 亦同 )在此同時,IE6、IE7、IE8 則為 83%、74%、56%。微軟已承認,此次事件中被使用的 IE 漏洞早在去年九月已發現,修補時程卻排到今年二月,此等疏忽令人無法相信。

二、原始碼受大眾檢視:Firefox 的開放原始碼開發模式,使得程式中每一行指令都能公開在陽光底下讓人檢視,漏洞與弱點更容易被發現,沒有一絲容許作惡指令的空間存在。相較於封閉原始碼的 IE 及 Opera 而言,我更相信其安全性。

~中略~
在套件所帶來的這個問題上,Mozilla 透過了附加元件網站的驗證與人工的審核,來替大家把關。

當套件作者上傳新的套件或者新版本時,Firefox 附加元件網站會自動進行 12 項測試,包含了一般驗證、在地化測試與兩組安全性測試,包含:不安全 JavaScript 測試、不安全設定測試、遠端 JavaScript 測試、常見函式庫 Checksum 測試、標記程式碼片段、Geolocation 檢查、Conduit 工具列檢查等安全性方面的測試。如果套件中夾帶了已知的有害程式碼、或者因為作者的疏忽導致程式有一些已知的不安全問題,在這一步就會被阻擋下來。(測試過程如下圖,詳細的說明在此

當上傳的檔案通過這些自動測試後,才能完成上傳動作,成為元件網站的「實驗中套件」。您在安裝這些實驗中套件時,都需要先勾選「讓我安裝這個實驗中的套件」,意義即表示:雖然這個套件已經通過自動測試,但是仍未經過人工檢查程式碼;你最好確定套件作者足以信任。

此次被抓到的兩個惡意套件,從 Google 頁面存檔看來(一、二),就都還是實驗中套件。雖然它們躲過了自動檢查程式,而上到 Firefox 元件網站,但這個檢查程序的弱點,附加元件網站已經完成修正,提昇掃瞄的能力,也針對網站上的所有套件重新進行了完整測試。

~中略~

當「實驗中套件」要提昇為正式套件時,套件作者必需先提出申請,接著會有審核者人工檢查其程式碼,確認是否符合公開的條件,包含:已經實驗一段時間、有得到使用者的意見回應、程式碼中無惡意或間諜程式、套件功能不違法、不涉及色情……等(詳細審核項目說明),當審核者確定套件的確是無害且安全無虞的,才會批准其申請,而這個過程每次上傳新版時,都要重新進行一遍。

~中略~

瀏覽器元件安全性

Firefox 3.6 中新增了一項功能,在更新時會檢查常見的瀏覽器元件(Plugin)版本,包含了 Flash、QuickTime、Silverlight、Java……等常見元件。如果所使用的版本過舊,檢查頁會顯示出來,建議你下載更新。這些 Plugin 為非 Mozilla 的其他廠商所寫,雖能增添 Firefox 的影音支援等功能,但也常常包含了不少安全性漏洞與錯誤,有時也會造成 Firefox 的當機等問題。例如 Flash 9 釋出至今三年多,也已修正了數十個漏洞,因此隨時保持 Plugin 更新,也是維持上網安全重要的一環。

2010年2月9日 撰文:Irvin 原文創用 CC 姓名標示-非商業性-禁止改作 3.0 台灣授權條款釋出

Firefox&IE

畢竟我不是什麼系統安全專家,因此本篇引用了一些文章文章來讓各位瞭解下流言的真偽~

怕版面太無趣就學學朱大加了些自以為有趣的圖片……;此處圖片皆為網路上蒐集,若有侵權之問題請聯絡我。

本篇完