Mozilla continua a battere il chiodo sulla sicurezza, e promette di continuare a batterlo anche con l’avvento di Firefox 4, dove piccoli e grandi accorgimenti garantiranno un maggior livello di sicurezza per l’utente. Le nuove armi di difesa di Firefox 4 sono state presentate alla conferenza Black Hat di quest’anno dal capo sviluppatore di Firefox Johnathan Nightingale.
Uno dei problemi che Mozilla vuole assolutamente risolvere in Firefox 4 è la faccenda privacy relativa ai link visitati. Il problema può sembrare tanto veniale quanto non di semplice risoluzione. Lo standard CSS2 prevede che i link “visited” abbiano un trattamento diverso (tipicamente un colore differente) rispetto a quelli ancora da visitare. Questo diverso trattamento può essere sfruttato da un codice maligno per inviare all’utente una serie di indirizzi in una pagina modificata ad hoc e leggere quanto interpretato dal browser per capire quali di questi indirizzi l’utente ha già visitato.
Un pericolo “privacy” non di facile soluzione in quanto seppure si potrebbero banalmente ignorare i “visited” questo significherebbe non rispettare una delle specifiche più diffuse del momento, e smettere di offrire una delle funzioni più antiche e utilizzate del Web. La soluzione arriva da David Baron, sviluppatore di Mozilla, che ha messo a punto un sistema che offre all’utente la corretta visualizzazione dei link già visitati, ma “mente” alle richieste javascript nascondendo così l’informazione a quanti non dovrebbero sbirciare negli affari nostri. Il metodo messo a punto da Mozilla è stato già incluso da Apple nel suo Safari 5.0.1. “È l’open source baby”.
La seconda novità riguarda invece un nuovo livello di protezione dagli attacchi Cross-Site-Scripting (XSS per gli amici). Firefox 4 introdurrà un nuovo “Content Security Policy” che consisterà in una richiesta da parte del browser al sito riguardo quali tipi di autorizzazioni concedere per le modifiche alle pagine Web. Fino ad ora ogni modifica è trattata allo stesso modo, sia che si tratti ad esempio di manipolare un testo o un’immagine. I siti in grado di riconoscere la richiesta di Firefox 4 dovranno per forza di cose concedere uno per uno i privilegi di azione su cui il codice attivo potrà operare, un po’ come quanto avviene in Android dove le applicazioni devono dichiarare preventivamente a quali risorse vogliono accedere. I siti potranno così mettere al riparo le sezioni più delicate ed esporre solo alcune parti delle pagine. Il CSP sarà per forza di cose retro-compatibile e per i siti che non saranno in grado di interpretare le richieste del browser, Firefox 4 non introdurrà alcuna limitazione.
Nightingale ha inoltre annunciato che Firefox 4 avrà due tipi di aggiornamenti: uno tipo dedicato alle sole riparazioni di sicurezza e un secondo per il resto (stabilità e nuove funzioni). Rispetto agli aggiornamenti comuni, quelli di sicurezza avverranno in modalità “stealth”, come già fa Google Chrome, senza che l’utente se ne accorga. Questa modalità verrà introdotta inizialmente solo per la piattaforma Windows, più suscettibile di attacchi e malware. Gli utenti Linux e Mac dovranno aspettare un po’ di più, ma per una volta immagino che non sentiranno il bisogno di protestare più di tanto.