安全文章
-
让 Firefox 90 更生动
对于我们北半球的人来说,夏季已经到来,气温很高,喝着冰茶放松一下是首选。幸运的是,Windows 上的后台更新功能已经推出,这意味着 Firefox 即使在未运行的情况下也能更新。我们只需坐下来放松一下!此外,在本版本中,我们还看到了一些不错的 JavaScript 添加,包括类的私有字段和方法,以及 Array、String 和 TypedArray 全局对象的 at() 方法。这篇博文只提供了一些亮点。
-
消除 Firefox 中的数据竞争 - 技术报告
我们在 Firefox 项目中成功部署了 ThreadSanitizer,以消除我们剩余的 C/C++ 组件中的数据竞争。在此过程中,我们发现了几个影响深远的问题,并且可以肯定地说,数据竞争对其对程序正确性的影响往往被低估。我们建议所有多线程 C/C++ 项目采用 ThreadSanitizer 工具来提高代码质量。
-
Mozilla 的浏览器模糊测试
Mozilla 一直在对 Firefox 及其底层组件进行模糊测试。它已被证明是识别质量和安全问题最有效的方法之一。一般来说,我们在不同的级别上应用模糊测试:有对整个浏览器进行模糊测试,但也有大量时间用于对隔离代码(例如使用 libFuzzer)进行模糊测试,甚至使用带有各种模糊测试器的独立外壳对整个组件(例如 JS 引擎)进行模糊测试。为了这篇文章的目的,我们将专门讨论浏览器模糊测试,并详细介绍我们开发的管道。
-
SameSite Cookie 行为的更改 - 对 Web 开发者的行动呼吁
浏览器正在将 cookie 的
SameSite属性的默认值从None更改为Lax。这将极大地提高用户的安全性。但是,一些网站可能(甚至不知不觉地)依赖于旧的默认值,这可能会导致网站中断。在 Mozilla,我们正在慢慢引入这种更改。我们敦促 Web 开发人员使用新的默认值测试他们的网站。 -
安全恢复共享内存
在 Mozilla,我们希望 Web 能够运行高性能应用程序,以便用户和内容作者可以选择 Web 平台的安全、自主性和开放性。共享内存多线程是高性能应用程序必不可少的基础构建块。但是,保障用户安全至关重要,这就是为什么在 2018 年初,鉴于 Spectre 的存在,共享内存和高分辨率计时器被有效地禁用了,直到现在……
-
保护 Gamepad API
作为 Mozilla 不断致力于改善 Web 平台的隐私和安全的举措的一部分,在接下来的几个月里,我们将对 Gamepad API 进行一些更改。从 Firefox 81 开始,Gamepad API 将被限制在所谓的“安全上下文”中。
-
使用 WebIDL 模糊测试 Firefox
模糊测试或模糊测试是一种自动化的软件安全性和稳定性测试方法。在过去的 3 年里,Firefox 模糊测试团队一直在开发一种新的模糊测试器,以识别 Firefox 中 WebAPI 实现中的安全漏洞。这种模糊测试器利用 WebAPI 自己的 WebIDL 定义作为模糊测试语法。
-
Twitter 私信缓存和 Firefox
杰出工程师 Martin Thomson 解释了这个问题是如何发生的,这对可能受到影响的人的影响,以及如何避免将来出现此类问题。为了实现这一点,我们需要深入了解 Web 缓存的工作原理。
-
Firefox 74 中的安全性意味着更多
Firefox 74 的发布重点关注安全性增强:功能策略、跨域资源策略标头以及删除 TLS 1.0/1.1 支持。我们还提供了一些新的 CSS 文本属性功能、JS 可选链操作符以及额外的 2D 画布文本度量功能,以及通常丰富的 DevTools 增强和错误修复。
-
使用 WebAssembly 保护 Firefox 的安全性
保护个人的安全和隐私是 Mozilla 使命中的核心原则。虽然我们继续在 Firefox 中广泛使用沙盒和 Rust 来应对浏览器中的安全挑战,但每种方法都有其局限性。今天,我们在我们的武器库中添加了第三种方法。RLBox 是一种由加州大学圣地亚哥分校和德克萨斯大学奥斯汀分校的研究人员开发的新沙盒技术,它使我们能够快速高效地将现有的 Firefox 组件转换为在 WebAssembly 沙盒中运行。
