開源Mozilla Firefox Web瀏覽器現處在現代IT安全的最前線。畢竟，這款Web瀏覽器是許多人訪問互聯網的常用渠道，因而常常也是攻擊目標。

近些年來，Mozilla在確保這款瀏覽器的安全方面取得了相當大的進展，還有一份路線圖，希望在將來讓它變得更安全。

Mozilla的火狐工程技術副總裁Johnathan Nightingale告訴媒體：“我們所做的許多安全工作并不是銀彈式(silver bullet)解決方案。實際上是認真考慮人們上網時在哪里遇到了安全問題，哪里存在危險，我們怎樣才能防范并消除那些風險。”

插件安全

對Nightingale來說，他認為網上最大的安全漏洞來源是Java和Flash之類的插件。雖然Mozilla并不直接負責插件代碼，但是它通過采取許多方法，有助于為用戶確保安全，遠離惡意插件的活動。

早在2010年發布的火狐3.6版本中，Mozilla就開始致力于讓插件采用獨立進程。之所以使用獨立進程的插件，是為了讓瀏覽器遠離穩定性方面的風險，避免受到不穩定插件的影響。就算插件崩潰了，也不會再引起整個瀏覽器癱瘓。

為了確保插件的穩定性和安全性，仍有更多的工作要做，而Mozilla的“點擊運行”(click-to-play)插件方法現在給這方面帶來了影響。有了點擊運行機制，插件就不會自動在默認情況下啟動。

Nightingale說：“就許多插件而言，我們默認情況下這么認為，如果用戶想與插件內容進行互動，他們可以明確激活插件。不會再有任何潛伏內容駐留在頁面的后臺;如果是惡意內容，這些潛伏內容還能攻擊用戶，甚至用不著用戶與它進行互動。”

阻止混合內容

如今互聯網上的一個常見的安全風險是，當普通的HTTP內容與加密頁面上的HTTPS安全內容混合在一起時。風險在于，HTTP內容有可能危及本該安全的內容的安全性。

Nightingale說：“我們有一個用戶界面，如今正在進行測試，以便在默認情況下阻止混合內容，但是萬一內容看起來出了問題，又為用戶提供了一些選項。”

整個SSL一向是Mozill關注的焦點。

Mozilla開展的其中一項工作就是針對SSL證書鎖定。借助證書鎖定機制，火狐用戶遇到的網站擁有SSL證書，而不是它應該擁有的證書后，就會顯示警示信息。Mozilla還在HSTS協議(HTTP嚴格傳輸安全)方面開展了工作，該協議讓網站能夠總是明確要求通過SSL進行連接。

Nightingale說：“我們會不斷完善那些技術，為每個人改善互聯網安全狀況。”

釋放后使用

所有現代瀏覽器普遍存在的最常見的軟件安全漏洞之一是，釋放后使用(use-after-free)的代碼安全漏洞。借助釋放后使用的安全漏洞，攻擊者就有可能利用已分配內存來發動攻擊。

Nightingale說：“只要人們用C和C++編寫代碼，就會存在內存安全問題，可以這么說。Mozilla有一些相當穩健的防御機制，可以及早發現許多內存安全問題，但內存管理卻是計算機業界的難題之一。”

話雖如此，Mozilla的確開展有一個日常性項目，將代碼由C/C++改為像JavaScript這樣的管理型代碼系統。

Nightingale解釋：“JavaScript并沒有釋放后使用的錯誤，也沒有其他內存管理方面的錯誤，原因就在于它是一門內存受管理的語言。所以，這為你提供了穩健的防御效果，可以防范一大批的安全問題。”

原文地址：http://www.esecurityplanet.com/browser-security/whats-next-for-mozilla-firefox-security.html