Rozšírené hľadanie
Piatok 29. Marec 2024 |
meniny má Miroslav
Mozilla vylepšila bezpečnost kód samotného Firefoxu

Mozilla.cz 16.10.2019 08:38 Na blogu věnovaném bezpečnosti vyšel zajímavý článek věnovaný na první pohled možná drobné, ale ve skutečnosti velmi zajímavé změně v kódu Firefoxu. Odstraňování volání funkce eval . Firefox nezobrazuje jenom stránky stažené z internetu, ale i stránky, které jsou jeho nedílnou součástí. Označují se jako a příkladem může být about:config nebo i výchozí domovská stránka na novém panelu nebo stránka s nastavením Firefoxu. Tyto stránky mají přístup k interním součástem Firefoxu, ale protože jsou napsané v HTML a JavaScriptu, mohou být cílem podobných útoků jako webové stránky v prohlížeči , jen s potenciálně závažnějším dopadem. Pokud by se někomu skutečně povedlo kód do nějaké about: stránky vložit, nejjednodušším způsobem pro nadělání škody je použít funkci eval či jí podobnou pro provedení jakéhokoliv příkazu. Inženýři v Mozille proto about: stránky bez použití funkce eval a podobných, aby mohli aplikovat silná pravidla , která použití eval ani spuštění vloženého kódu vůbec nedovolí . Takovéto technice, kdy se neopravují přímo bezpečností chyby , ale omezuje se jejich případný dopad, až je někdo najde a zneužije, se říká . Podobné kroky budou ještě následovat pro zbytek rozhraní Firefoxu , ale až po definitivním , která to zatím neumožňuje. Zdroje: ,