Mozilla: Nie da się stworzyć przeglądarki bezpiecznej w 100%

Strona głównaMozilla: Nie da się stworzyć przeglądarki bezpiecznej w 100%
06.02.2008 14:00
Mozilla: Nie da się stworzyć przeglądarki bezpiecznej w 100%
Źródło zdjęć: © IDG

Firefox przebojem wdarł się do czołówki przeglądarek internetowych - jeszcze kilka lat temu wydawało się, że nic nie jest w stanie zagrozić dominacji Internet Explorera, a jednak przeglądarka spod znaku pandy rudej zdołała wyrwać monopoliście już prawie 1/3 rynku. Wraz z rosnącą popularnością zaczęły się jednak problemy - w przeglądarce zaczęto szukać luk i błędów. Pracami zespołu odpowiedzialnego za bezpieczeństwo przeglądarki kieruje Window Snyder, zatrudniona wcześniej w Microsofcie. Naszej koleżance Sharon Gaudin z Computerworlda udało się porozmawiać ze Snyder - przedstawicielka Mozilli opowiada m.in. o tym, dlaczego nie da się stworzyć perfekcyjnie zabezpieczonej przeglądarki, o największych zagrożeniach we współczesnym Internecie oraz o współpracy z Microsoftem.

W ubiegłym roku znaleziono w Firefoksie aż 64 luki - więcej niż np. w IE. Nie znaczy to jednak, że nie jest to przeglądarka bezpieczna - twórcy Mozilli słyną z tego, że błyskawicznie usuwają wszystkie błędy. W. Snyder kieruje zespołem programistów reagujących na każde nowe zagrożenie.

PCWK: Co jest obecnie największym zagrożeniem dla internautów?

Window Snyder: Generalnie za najbardziej niebezpiecznych wciąż uważam najróżniejszych osobników, próbujących zwabiać internautów na witryny do złudzenia przypominające serwisy bankowe lub inne popularne strony. To jest najbardziej uciążliwe zjawisko, które w istotny sposób dotyka użytkowników. Takie ataki następują przez strony WWW, e-maile... to szeroki problem.

Czy w takim razie Twoim zdaniem będziemy w tym roku mieli do czynienia z eskalacją phishingu?

Takie ataki stają się coraz bardziej popularne i skuteczne - od kiedy pojawił się phishing, problem narasta. Oczywiście, my - społeczność twórców oprogramowania - znajdujemy wciąż nowe sposoby na walkę z tym zjawiskiem, więc sądzę, że przestępcy w końcu zmienią metodę działania. Moim zdaniem najbardziej potrzebujemy oprogramowania, które będzie na tyle skuteczne, że pozwoli na zabezpieczenie użytkowników nie tylko przed wykorzystywanymi dziś przez przestępców metodami działania, ale także przed tym, co wymyślą oni w przyszłości... Chodzi o to, że nie należy tworzyć oprogramowania zabezpieczonego przed jakimś konkretnym atakiem - należy tworzyć po prostu bezpieczne programy. W aplikacjach niezbędne jest zastosowanie wielu poziomów zabezpieczeń, bo nie wiesz, co pojawi się za chwilę. Kiedy mogą pojawić się takie programy?

Aktualnie pracujemy nad uczynieniem Firefoksa aplikacją spełniającą te wymagania. Ale zbudowanie perfekcyjnie zabezpieczonej przeglądarki nie jest możliwe, zawsze znajdzie się coś, o czym ktoś wcześniej nie pomyślał. Dlatego zbudowanie w 100. bezpiecznego programu nie jest możliwe - naszym celem jest stworzenie przeglądarki, która będzie zabezpieczona najlepiej, jak się da. To proces ciągły - nie możemy zakładać, że pewnego dnia powiemy sobie "Ok, zrobione - mamy w 100% bezpieczny program".

288769007111583891
Źródło zdjęć: © Obecnie Firefox 3 dostępny jest w wersji beta 2 (fot. IDG)

Co jest największym problemem współczesnych przeglądarek w zakresie bezpieczeństwa?

Jeden z najtrudniejszych do rozwiązania problemów z bezpieczeństwem przeglądarek polega na tym, że wszystkie takie programu muszą obsługiwać treści pochodzące z nieznanych stron i że przynajmniej część z nich będą stanowiły uruchamialne komponenty. Nieważne, czy będzie to aplet Java, skrypt czy kontrolka ActiveX - to wciąż kod uruchamiany w przeglądarce użytkownika. Musimy więc zapewniać obsługę takich elementów, jednocześnie gwarantując użytkownikowi maksymalne bezpieczeństwo - to dość trudne zadanie. Oprogramowanie istnieje po to, by umożliwiać użytkownikowi uruchamianie pewnych narzędzi, funkcji czy treści. Naszym zadaniem nie jest przecież nakazywać internautom co mogą zrobić, a czego nie - to nie tak powinno działać.

Użytkownicy chyba też są problemem? Od lat mówi im się np. żeby nie otwierali plików nadesłanych przez nieznane im osoby - a jednak oni wciąż to robią. Czyżby byli aż tak głupi, jak sugerują niektórzy eksperci?

Zawsze mnie wkurza, gdy słyszę coś takiego. Użytkownicy nie są głupi - oni po prostu chcą wykonać jakieś działanie i jeśli jakieś zabezpieczenie im to utrudnia lub uniemożliwia, to będą chcieli je ominąć. Tu może chodzić o otwarcie pliku o interesującej nazwie, przejście na stronę "banku" itp. Cały spryt przestępców zwykle sprowadza się do wywołania u użytkownika wrażenia, że wykonanie jakiegoś działania jest niezbędne.

Co możemy zrobić by rozwiązać lub chociaż ograniczyć ten problem

Możemy np. wbudować do przeglądarki internetowej i klienta pocztowego mechanizm, który zniweluje niebezpieczeństwo zaatakowania użytkownika. Firefox 3 ma system antyphishingowy oraz chroniący przed złośliwym oprogramowaniem - chronią one użytkownika przed odwiedzeniem storn zawierających złośliwe oprogramowanie lub służących do oszukiwania internautów. Jego działanie polega przede wszystkim na informowaniu użytkownika, że na stronie którą próbuje odwiedzić znajduje się niebezpieczna zawartość i że nie należy klikać na odnośnik do niej. Nie wiemy na razie, jak to zostanie dokładnie rozwiązane w finalnej wersji - wciąż dopracowujemy to rozwiązanie.

Którą zmianą lub innowacją w wersji 3 Firefoksa jesteś najbardziej podekscytowana?

Przede wszystkim systemem ochrony przed złośliwym oprogramowaniem. To bardzo skuteczne rozwiązanie, które na dodatek jest prawie niewidoczne dla zwykłego użytkownika - większość pracy odbywa się "pod maską". Nasze zabezpieczenia stają się coraz lepsze, bo wiemy coraz więcej - aplikacje zabezpieczające napisane w 2007 r. są dużo lepsze niż te, które powstały w 2004 czy 2005, bo w tym czasie pojawiło się dużo nowych zagrożeń i nauczyliśmy się je zwalczać. Poprawiliśmy sporo rzeczy związanych z obsługą pamięci i liczymy na to, że ogólne bezpieczeństwo znacząco się poprawi.W ubiegłym roku musieliście łatać wiele błędów związanych z zastosowanym w Firefoksie komponentem odpowiedzialnym za współpracę z innymi aplikacjami. Dało wam to jakąś naukę na przyszłość?

Interakcja pomiędzy różnymi programami to jedno z najciekawszych zagadnień z zakresu bezpieczeństwa. Mieliśmy okazję się o tym przekonać usuwając kilka różnych błędów związanych z URI ( Uniform Resource Identifier ) - dotyczyły one m.in. współpracy Safari z Firefoksem, IE z Firefoksem itp. Takie problemy zawsze wymagają ścisłej współpracy ze strony producentów obu aplikacji - musieliśmy wspólnie je rozgryzać i usuwać.

Załatanie wykrytych błędów nie było wystarczającym rozwiązaniem. Mamy do czynienia z wieloma aplikacjami - i kiedy jedna z nich przekazuje dane do drugiej, to zwykle ta druga uznaje, że są to bezpieczne dane, po pochodzą z lokalnego systemu. Problem w tym, że jeśli jedną z tych aplikacji jest przeglądarka internetowa, to dane mogą pochodzić z Internetu ( mimo, iż będzie się wydawało, że jest inaczej ). Dlatego załatanie luki po naszej stronie nie wystarczyło - również druga strona musi rozwiązać swój problem. Aktualnie jest tak, że użytkownicy uaktualnili Firefoksa i pewnie myślą, że są bezpieczni... ale łatki musi przygotować jeszcze Microsoft, bo łatania wymagają Windows i IE.

Czy taka współpraca pomiędzy firmami bywa problematyczna?

Zwykle pojawiają się problemy, ale w końcu są rozwiązywane, bo wszystkim chodzi mniej więcej o to samo - o chronienie użytkownika. Gdy już uda się dokładnie rozgryźć istotę błędu czy błędów, wtedy idzie gładko - specjaliści z obu stron robią to, co jest do zrobienia i problem jest usuwany.

Kilka miesięcy temu wyglądało to jednak inaczej - ludzie z Mozilli i Microsoftu raczej spierali się o to, kto jest odpowiedzialny za błędy, niż zajmowali ich łataniem...

Moim zdaniem niektórym wydaje się, że tak było, ponieważ problem nie został od razu usunięty w całości. Dla postronnych obserwatorów dyskusja techniczna na temat specyfiki błędów może niekiedy wyglądać jak wzajemnie obwinianie się - ale tak nie było. Ja wiem, że to nagłówki sugerujące spory wyglądały sensacyjnie, ale naprawdę nie było problemu...

Ostatnie pytanie jest dość trywialne... jakie jest pochodzenie Twojego imienia [Window to po prostu "Okno" - red.]?

Cóż, nie ma tu jakiejś wielkiej historii - i nawet jest to dość kłopotliwe, bo wszyscy pytają o jego pochodzenie, a ja nie wiem co odpowiadać. Hm, muszę chyba coś wymyśleć...

Udostępnij:
Wybrane dla Ciebie
Komentarze (2)