安全文章
-
使用基于硬件令牌的 2FA 与 WebAuthn API
为了提供更高的登录安全性,网站正在部署双因素身份验证 (2FA),通常使用智能手机应用程序或短信。这些机制使钓鱼更难,但不能完全阻止钓鱼。Firefox 60 将默认启用 WebAuthn API,提供基于公钥密码学的双因素身份验证,这种身份验证方法不受我们今天所知的钓鱼攻击的影响。该 API 目前在 Firefox Nightly 中可用,现在就开始学习如何保护数百万已经拥有 FIDO U2F USB 令牌的用户并不为过。
-
容器的概述,面向插件开发者
容器的工作原理是,通过在不同的浏览上下文中隔离 cookie、indexedDB、localStorage 和缓存,为用户提供跨网站数据流的限制功能。这篇关于容器和容器扩展的深入介绍探讨了容器和上下文身份对于开发人员的功能。
-
容器登陆测试飞行员
Firefox Nightly 中的容器功能为用户提供跨网站数据流的限制功能,通过在不同的浏览上下文中隔离 cookie、indexedDB、localStorage 和缓存。经过数轮用户研究和 UX 迭代对容器 UI 进行测试后,我们在 Firefox 测试飞行员中启动了容器实验,以扩大容器的用户群,对 UI 进行迭代,并思考该功能的未来。
-
如何在构建过程中实现 SRI
想象一下,你接到一个客户的电话,说你的网站正在传播恶意软件。你的心都凉了,你开始冒汗,然后推特开始涌入。出事了。你发现你的系统没有被篡改。事实上,是你的 CDN 提供商被黑了,而你包含的脚本 […]
-
实施内容安全策略
插件团队最近完成了在 addons.mozilla.org (AMO) 上启用内容安全策略 (CSP) 的工作。本文旨在介绍实施 CSP 的基础知识,并重点介绍我们在 AMO 上实施 CSP 时遇到的一些问题。什么是内容安全策略?内容安全策略 (CSP) 是一种安全标准 […]
-
请使用 HTTPS 登录表单
更新:此功能现已在 Firefox Beta 中启用,从 Firefox Beta 50 开始。几乎所有使用过网络的人都使用过密码登录某个东西。而且几乎所有使用过密码的人都在不安全的表单中输入密码时将其置于危险之中。在 Firefox 46 […]
-
检查网站的安全和隐私设置
检查网站的内容安全策略从 Firefox 41 开始,Mozilla 提供了一个开发者工具,允许用户检查网站的安全设置。使用 GCLI (图形命令行界面),用户可以检查网站的内容安全策略 (CSP)。CSP 是一种安全概念,允许网站 […]
-
不要让你的 CDN 背叛你:使用子资源完整性
Mozilla Firefox 开发者版 43 和其他现代浏览器帮助网站控制第三方 JavaScript 加载并防止意外或恶意修改。使用名为子资源完整性的新规范,网站可以包含在被修改后将停止工作的 JavaScript。使用这项技术,开发者可以从使用 […] 中获得性能提升。
-
无密码身份验证:安全、简单、快速部署
无密码是一种针对 Node.js 的身份验证中间件,它提高了用户安全性,同时快速且易于部署。过去几个月对于所有对网络安全和隐私感兴趣的人来说都是激动人心的时刻:出现了精彩的文章、讨论和演讲,但也发生了一些事件提高了人们的意识。然而,大多数网站仍然停留在 […]
-
Firefox 和 FireCAT 作为道德黑客平台
几年前,在 2007 年初,我们作为自由职业者工作,当时我们被挑战对一个 Web 应用程序进行渗透测试。它确实很简单,但有基于条件的方法,因此不可能使用任何自动工具;我们只能使用 Web 浏览器。我们的解决方案是将 Firefox […]
