Firefox 95, najnowsza wersja przeglądarki Mozilli, która zaczyna się dzisiaj, wprowadza nową funkcję bezpieczeństwa, która ma na celu ograniczenie szkód, jakie mogą powodować błędy i luki w zabezpieczeniach w jego kodzie, Mozilla ogłosiła dzisiaj. Funkcja o nazwie RLBox, został opracowany z pomocą naukowców z University of California San Diego i University of Texas i został pierwotnie wydany jako prototyp w zeszłym roku. Pojawi się zarówno w wersji stacjonarnej, jak i mobilnej Firefoksa.
U podstaw RLBox jest technologia piaskownicy, co oznacza, że jest w stanie skutecznie izolować kod, tak aby wszelkie luki w zabezpieczeniach, które może zawierać, nie mogą zaszkodzić całemu systemowi. Piaskownica jest szeroko stosowaną metodą bezpieczeństwa w branży, a przeglądarki już uruchamiają treści internetowe w procesach piaskownicy, aby powstrzymać złośliwe lub błędne witryny przed narażeniem na szwank całej przeglądarki.
RLBox różni się jednak od tego tradycyjnego podejścia i nie ma takich samych kosztów wydajności i zużycia pamięci. Dzięki temu możliwe jest piaskowanie krytycznych podkomponentów przeglądarki, takich jak moduł sprawdzania pisowni, co skutecznie pozwala traktować je jako niezaufany kod, jednocześnie działając w tym samym procesie. Nakłada to ograniczenia na sposób uruchamiania kodu lub dostęp do pamięci.
Na dzień dzisiejszy Firefox izoluje pięć modułów: mechanizm renderowania czcionek Graphite, moduł sprawdzania pisowni Hunspell, format kontenera multimedialnego Ogg, parser Expat XML i format kompresji czcionek internetowych Woff2. Mozilla twierdzi, że oznacza to, że jeśli w jednym z tych podkomponentów zostaną wykryte błędy lub luki w zabezpieczeniach, zespół ds. Firefoksa nie będzie musiał się wysilać, aby powstrzymać ich przed złamaniem zabezpieczeń całej przeglądarki. „Nawet luka zero-day w którejkolwiek z nich nie powinna stanowić zagrożenia dla Firefoksa” – mówi Mozilla.
Mozilla przyznaje, że nie jest to rozwiązanie typu catch-all i że takie podejście nie zadziała wszędzie, na przykład w przypadku szczególnie wrażliwych na wydajność komponentów przeglądarki. Deweloper twierdzi jednak, że ma nadzieję, że inne przeglądarki i projekty oprogramowania zaimplementują tę technologię i zamierza używać jej z większą liczbą komponentów Firefoksa w przyszłości. Mozilla zaktualizowała również swój program bug bounty i będzie teraz płacić badaczom, jeśli będą w stanie ominąć nowe piaskownice.