Intervista a Dave Camp, Vice President of Engineering, Firefox presso Mozilla

le cose del progetto di mozilla

(in) Secure è una colonna settimanale che approfondisce l'argomento in rapida crescita della sicurezza informatica.

Di tutti i browser, Firefox ha la storia più lunga nel mantenere la sicurezza al centro della sua mente, sia tecnicamente che filosoficamente. La società madre del browser, Mozilla, partecipa attivamente a molte iniziative di sicurezza informatica. Ha intentato una causa contro la FCC per neutralità della rete, ha adottato con entusiasmo Do Not Track quando ha debuttato e ha collaborato con il Washington Post per migliorare i commenti online.

Dave Camp, Vice President of Engineering di Mozilla. Mozilla

I recenti eventi dello scorso anno hanno posto nuovi e intensi riflettori su sicurezza e privacy, poiché quasi tutti sono stati recentemente colpiti da problemi di sicurezza, che si tratti di un difetto di sicurezza del processore o di una grande azienda, come Equifax.

La colonna di questa settimana è un'intervista a Dave Camp, Vice President of Engineering, Mozilla, Firefox. Abbiamo visitato l'ufficio di Mozilla a Portland, Oregon, per discutere di minacce alla sicurezza incombenti, come i difetti di Meltdown e Spectre che hanno un impatto sui processori Intel e la debacle della privacy di Facebook.

Tendenze digitali: problemi recenti come Meltdown e Ryzenfall hanno fatto sembrare che ci sia un mucchio di problemi di sicurezza in agguato in ogni dispositivo. Come sviluppatore di browser, come rispondi a un problema del genere, che ha un impatto sull'hardware a un livello molto basso?

Dave Camp : La prima cosa che facciamo è quando sentiamo queste cose, capiamo cosa possiamo fare per mitigare rapidamente il problema. Quindi, quando abbiamo scoperto per la prima volta Meltdown e Spectre, ad esempio, la cosa più veloce che siamo riusciti a fare è stata semplicemente cambiare la risoluzione dei nostri timer in modo che fosse più difficile per gli attaccanti trarne vantaggio.

I browser sono in una posizione unica. Dobbiamo essere la prima linea di difesa.

Quindi lavoriamo con altri fornitori di browser, troviamo soluzioni, facciamo del nostro meglio per aggirarlo e incoraggiamo gli utenti a eseguire l'aggiornamento, anche se con Spectre non è sempre possibile. Facciamo del nostro meglio per collaborare con ricercatori sulla sicurezza e altri fornitori di browser per trovare soluzioni e implementarle rapidamente.

I browser si trovano in una posizione unica perché è nostro compito prendere codice non attendibile ed eseguirlo sulla tua macchina. E così, molte volte dobbiamo essere la prima linea di difesa. Anche se è responsabilità del fornitore dell'hardware, abbiamo la responsabilità nei confronti dei nostri utenti di fare il possibile per mitigare questi attacchi.

Oggi, Firefox di Mozilla ha lanciato un nuovo componente aggiuntivo di Facebook Container per impedire il tracciamento dei social media, che ho pensato fosse uno sviluppo interessante. Da un punto di vista ingegneristico, come funziona un componente aggiuntivo come quello?

Firefox ha avuto una funzione nel nostro motore per un po 'chiamata contenitori Firefox. Ciò che fanno i contenitori è isolare cose come cookie e sessioni in una scheda specifica su un sito specifico. Quindi, quando installi un contenitore di Facebook, si assicura che ogni volta che visiti Facebook.com, stia configurando nuove sessioni e nuovi cookie.

Non sta condividendo quei cookie con altre schede. Quindi, supponiamo che tu navighi da Facebook a Food.com. Se Food.com carica un pulsante Facebook più un pulsante, in genere Facebook vede quel cookie, può collegarlo al tuo accesso su Facebook e può seguirti in questo modo. Poiché questo contenitore si limita a Facebook.com, quando vai su Food.com e vedi un pulsante più uno su Facebook, non vede che hai effettuato l'accesso. Cerca di mantenere separate applicazioni separate in modo che non possono vedersi e impedire a Facebook di ottenere informazioni da quel sito. 

La funzionalità del contenitore è fondamentale per Firefox o qualcosa è abilitato solo da questo componente aggiuntivo?

Il browser ha questa funzionalità che non è esposta agli utenti. Abbiamo provato diversi modi per esporlo. Un altro componente aggiuntivo chiamato semplicemente contenitori di Firefox ti consente di configurare tutto questo e capire come desideri impostare i tuoi contenitori.

Facebook è un punto di particolare interesse in questo momento

Facebook è un particolare punto di interesse in questo momento, quindi abbiamo creato questo componente aggiuntivo e l'abbiamo personalizzato su Facebook in modo che gli utenti sappiano come interagire con esso.

Il componente aggiuntivo dei contenitori principali che abbiamo già pubblicato è piuttosto avanzato e richiede una comprensione di ciò che vuoi fare, quindi abbiamo appena rilasciato questo che è facile per Facebook.

Nota del redattore: Firefox ci ha indicato un post sul blog che spiega la funzionalità in modo approfondito.

Come si inserisce Quantum nei tuoi sforzi? A livello di prestazioni, è progettato per un migliore utilizzo di più core, ma cosa fa per la sicurezza e la privacy?

Firefox Quantum ha rappresentato davvero questo ripensamento di come costruiamo il browser e di come prestiamo attenzione alle prestazioni. In genere non usiamo il progetto Quantum come una versione di funzionalità di sicurezza, ma abbiamo una roadmap di sicurezza che corre accanto al progetto Quantum.

Il pezzo principale che abbiamo è il sandboxing del processo di contenuto. In qualche modo lavoriamo con il sistema operativo per dire "questo non è attendibile", in modo che il sistema operativo possa tentare di impedire al browser di compromettere il sistema. È un ulteriore livello di sicurezza rispetto alla sicurezza che stiamo cercando di realizzare all'interno del browser.

Mentre lavoriamo al nostro programma di sicurezza con il prossimo anno, stiamo lavorando per rafforzare la nostra sandbox per trovare altri modi per ottenere il sistema operativo per aiutarci a essere sicuri.

Quale pensi sia il prossimo grande problema di sicurezza che gli sviluppatori di browser dovrebbero affrontare, come comunità?

Penso che tutti i browser dovranno dedicare molto tempo alla comprensione delle vulnerabilità di Spectre. Questo richiederà molto lavoro e dedichiamo molto tempo a capire come funziona e tutte le sue implicazioni.

Questa intervista è stata modificata e condensata per chiarezza.