20 сентября разработчики проекта Mozilla представили восьмую альфа-версию Firefox 3.0. В ней впервые реализовано несколько давно обсуждавшихся функций безопасности.
Кодовое наименование Firefox 3.0 - "Gran Paradiso", и в его новой альфа-версии, как сообщается в документации на Web-сайте проекта Mozilla, имеется встроенная система предупреждений о вредоносных программах и защиты от мошеннических обновлений дополнительных модулей программы.
Блокировщик вредоносных программ, прототип которого появился в июне, будет препятствовать доступу к сайтам, на которых размещаются для загрузки вредоносные файлы. Для определения потенциально опасных сайтов будет использоваться информация, предоставляемая системой Google. Новый блокировщик будет работать совместно с существующей в нынешней версии Firefox 2.0 системой предупреждения о мошеннических сайтах. При попытке входа на такие сайты пользователь увидит соответствующее предупреждение, а доступ будет автоматически заблокирован.
Разработчики Mozilla приводят адрес, заход на который продемонстрирует пользователям восьмой альфа-версии действие нового блокировщика вредоносных программ.
Заслуживает внимания и функция, предотвращающая направление запросов службы автоматического обновления плагинов на сайты, где возможно заражение системы посредством специального программного кода или «попутных» загрузок файлов.
Гибкие и мощные возможности Firefox обеспечиваются небольшими плагинами («дополнениями», по терминологии разработчиков Mozilla). В настоящее время создано уже несколько тысяч таких дополнений для самых разных задач - от ускорения просмотра сайтов до блокирования раздражающих анимаций на Flash – и большая часть дополнений пишется сторонними разработчиками. Firefox регулярно проводит проверку на наличие обновленных версий дополнений и, если они имеются, загружает и устанавливает свежие версии.
В документации для разработчиков Mozilla говорится: «Firefox автоматически проверяет наличие обновлений дополнений, используя адрес, указанный в инсталляционном манифесте этого дополнения. В настоящее время никаких требований к этим адресам не предъявляется. В частности, они не обязаны поддерживать протокол https. Таким образом манифест обновления или сам пакет обновления становится уязвимым, что может дать возможность внедрения вредоносных обновлений. Публичная демонстрация одного из способов подобной атаки уже состоялась».
Большая часть дополнений находится на собственных серверах Mozilla, поддерживающих сайт дополнений, но некоторые размещены на чужих серверах - и именно их разработчики Mozilla хотят обезопасить.
Чтобы предотвратить атаки через уязвимые пакеты обновления дополнений, Mozilla теперь будет требовать загрузки как самих обновлений, так и их «манифестов» (гораздо меньших по размеру файлов, содержащих объявление о наличии обновления) только через безопасное SSL-соединение. В противном случае обновление должно быть подписано цифровой подписью.
Изменение, однако, не касается первоначальной установки дополнения, и в Mozilla это признают. «На безопасность первоначальной установки дополнения это не влияет», - говорится в онлайновом руководстве разработчика.
Новая версия доступна для загрузки с сайта Mozilla в вариантах под системы Windows, Mac OS X и Linux. Она по-прежнему содержит предупреждение для пользователей: «Альфа-версия 8 предназначена для разработчиков приложений Web и нашего сообщества тестеров. Нынешним пользователям Mozilla Firefox не следует использовать версию Gran Paradiso Alpha 8», - говорится в замечаниях к выпуску браузера.
В Mozilla пока не установили официальную дату выхода окончательной версии Firefox 3.0.