您现在的位置是:首页 > 互联网网站首页互联网
前沿科技资讯:Firefox获得另一项重大安全升级 有助于防止代码注入攻击
- 互联网
- 2021-05-29 19:08:40
- 来源:
很多小伙伴们对于互联网、科技、这方面的信息知识都是比较需要的吧,如今我们的生活当中处处都充满了通信、互联网、科技、数码,那么今天小编就来为大家分享一些关于到通信、互联网、科技、数码方面的信息吧。
在Mozilla安全博客上的最新博客文章中,这家Firefox制造商透露了已采取的步骤,即通过使其浏览器更加安全来保护用户免受代码注入攻击。
该公司的平台安全和隐私工程师Christoph Kerschbaumer表示,该公司已通过从Firefox代码库中删除“潜在危险的工具”(包括内联脚本和类似eval()的功能)来增强了其浏览器的性能。
为了改善对Firefox的“关于”协议(通常称为“关于:”页面)的保护,删除了内联脚本。这些关于:页面允许用户执行诸如显示网络信息,查看其浏览器的配置方式以及查看已安装哪些插件的操作。
但是,由于这些about:页面是用HTML和JavaScript编写的,因此它们采用与网页相同的安全性,这也容易受到代码注入攻击。例如,攻击者可以将代码注入about:页面,然后使用它来更改Firefox中的配置设置。
为了帮助保护Firefox用户免受代码注入攻击,Mozilla决定重写其所有内联事件处理程序,并将所有45个about:页面的所有内联JavaScript代码移动到“打包文件”中。该公司还制定了强大的内容安全政策,以确保任何注入的JavaScript代码均无法执行。
Kerschbaumer解释了此新措施如何帮助防止代码注入攻击,他说:
“相反,JavaScript代码仅在使用内部chrome:协议从打包的资源加载后才执行。“ about:”页面中的任何页面均不允许任何内联脚本,这限制了任意代码执行的攻击面,因此为抵御代码注入攻击提供了强大的第一道防线。”
此外,Mozilla还警告开发人员不要使用eval()函数,该函数被描述为“危险函数,该函数以调用者的特权执行传递给它的代码”。通过重写所有类似eval()的函数,该公司进一步减少了Firefox的攻击面。