安全文章
-
TLS 1.0 和 TLS 1.1 的终结
传输层安全 (TLS) 协议是 Web 安全的实际标准。最新版本 TLS 1.3 提高了效率,并弥补了早期版本存在的缺陷和漏洞。2018 年 10 月,我们宣布了关于 TLS 1.0 和 TLS 1.1 弃用的计划。现在是时候让我们一起做出这个改变,推动 TLS 生态系统向前发展。
-
TLS 1.0 和 1.1 移除更新
您可能在去年已经阅读过,Safari、Firefox、Edge 和 Chrome 浏览器将于 2020 年 3 月移除对 TLS 1.0 和 1.1 的支持。这意味着您只剩下不到一年的时间在您的服务器上启用 TLS 1.2(理想情况下是 1.3),否则所有主流浏览器将显示错误页面,而不是您用户想要查看的内容。
-
将浏览器组件重写为 Rust 的影响
自 2002 年 Firefox 首次发布以来,Firefox 的样式组件中出现了 69 个安全漏洞。如果我们有时光机,可以从一开始就用 Rust 编写这个组件,那么其中 51 个(73.9%)漏洞就不会出现。Rust 并非万无一失,但通过消除内存安全的负担,Rust 使程序员能够专注于逻辑正确性和健壮性。
-
无惧安全:线程安全
多线程允许程序更快地完成更多工作,但也增加了同步错误和攻击。编程语言已经发展出不同的并发策略来帮助开发人员管理多线程应用程序的性能和安全挑战。Diane Hosfelt 探讨了线程安全的挑战以及 Rust 的方法。
-
无惧安全:内存安全
内存安全违规会使程序容易受到安全威胁,例如无意的数据泄漏和远程代码执行。有一些方法可以确保内存安全,包括智能指针和垃圾回收。研究工程师 Diane Hosfelt 解释了 Rust 的所有权系统如何在最大限度地减少性能成本的情况下实现内存安全。
-
天生私密:我们如何构建 Firefox Sync
Firefox Sync 允许您在不同的设备之间共享书签、浏览历史记录、密码和其他浏览器数据,以及将标签页从一个设备发送到另一个设备。我们认为突出 Sync 的隐私方面非常重要,它默认保护所有同步数据,因此 Mozilla 永远无法读取它。在这篇文章中,我们将深入探讨我们为将用户隐私放在首位而做出的某些技术设计选择。
-
关于 DNS over HTTPS 的卡通介绍
在 Mozilla,我们密切关注对用户隐私和安全的威胁。这就是为什么我们在 Firefox 中添加了跟踪保护,并创建了 Facebook 容器扩展。在今天的卡通介绍中,Lin Clark 描述了我们正在倡导的两个新举措,以消除自 35 年前创建以来一直是域名系统一部分的数据泄漏:DNS over HTTPS,这是一个新的 IETF 标准,以及 Trusted Recursive Resolver,这是一种新的安全方式来解析 DNS,我们已与 Cloudflare 合作提供。
-
Firefox 60 – 模块和更多
Firefox 60 继续 Quantum 的发展。Quantum CSS 的并行处理将来到 Firefox for Android,而 WebRender 工作正在进行中。Potch 报告了两个安全升级 - 对 Web Authentication API 和 Cookie 的 Same-Site 属性的支持,以及 ES 模块的到来。Firefox Quantum for Enterprise,我们的扩展支持版本,现在可供大型安装使用。阅读所有内容吧!
-
在不到一天的时间内发布 Firefox 安全更新
Mozilla 的首要任务之一是保护用户安全;这一承诺体现在我们的使命中。一旦我们在 Firefox 中发现严重问题,我们就会计划快速缓解。这篇文章描述了我们如何修复了 Pwn2Own 漏洞利用发现,并通过全球跨职能团队的协作和协调努力,在不到 22 小时内发布了浏览器的最新版本。
-
动手 Web 安全:使用 OWASP Juice Shop 参加夺旗赛
CTF(夺旗赛)活动是一种安全挑战或竞赛,可用于教授或测试在线安全。在这篇文章中,Mozilla 安全工程师和 OWASP 开发者 Simon Bennetts 描述了他在 Mozilla 活动中主持的最近的 CTF,以及如何使用 OWASP Juice Shop 设置您自己的 Web 安全 CTF。
