Mozilla 宣布其 Firefox 瀏覽器現在將阻止任何不使用 HTTPS 協定的新 Web 功能。對程式設計師的新約束。 Firefox 的衡量風險。這一切只是為了我們的眼睛。
2018 年將是 Firefox 安全第一年。去年年底,這款免費瀏覽器完成了轉型的重要部分:量子科技革命。幾天前,作為 Let's Encrypt 計畫發起的競賽的新一步,Mozilla 宣布實施其「安全環境」政策。事實上,它是一組元素,使我們確信所提供的內容是透過安全通道 (HTTPS/TLS) 提供的,必要的不安全通訊是最少的。
讓不安全的網路變得過時
換句話說,任何透過 Firefox 並需要存取網路的東西都必須透過 HTTPS 連線進行,無論是函數還是 Web API。透過淘汰不安全的 HTTP,這項決定意味著相對大量的高級 Web 功能如果不被認為是安全的,就無法再與瀏覽器一起使用。例如,Web 通知 API 或付款請求,甚至 DRM (EME) 的實施,甚至從 Web 應用程式存取麥克風和網路攝影機,都屬於這種情況。最終,透過 Javascript、CSS 或媒體格式「暴露在網路上」的所有內容都可能受到影響。它可以是 CSS 樣式表、新的 HTTP 標頭,甚至是 WebVR 函數。請注意,藍牙 API 也會受到影響,即使安全,它仍然具有相當的侵入性和潛在危險。
注意事項和潛在趨勢
儘管 HTTPS 日益成為線上標準,但許多網站尚未完全邁出這一步。例如,一些網站仍然將其圖像儲存在「未加密」的伺服器上。因此,可以肯定的是,網站管理員和開發人員將有一些工作要做。為了幫助他們,Mozilla 還將為他們提供新工具,讓他們無需部署 HTTPS 伺服器即可測試其網站。
無論如何,這都是要冒的風險。因為如果 Firefox 不再顯示某些網站,其使用者很可能會決定更換瀏覽器。
然而,正如 Mozilla 在 2015 年 4 月關於放棄(已經)不安全 HTTP 所指出的那樣:「從不安全的網路中刪除功能可能會導致網站不再運作。因此,我們必須監控這些故障並找到與安全效益的平衡”。顯然,Firefox 團隊將確保採取一項的預防措施。
然而,Mozilla 指出,在三年的時間裡,已經走過了很長的路。該基金會在回覆有關此主題的一些問題的電子郵件中指出,現在「今天良好的動力和充足的基礎設施使[這個開關]是可行的。 »因此,截至 2018 年 1 月 22 日,讓我們加密,Firefox 中載入的頁面超過 68% 是使用安全連線載入的。與去年同期相比成長近20%。
最終,對於 Firefox 團隊來說「主要風險是其他瀏覽器不共享[相同]目標”或者他們優先考慮其他元素。然而,就這一點而言,風險似乎相當有限。微軟顯然不會在 Edge 上遵循這種方法。另一方面,谷歌似乎也在效仿與 Chrome 相當接近的路線。這是主要的事情。
此外,免費瀏覽器還為自己提供了一些安全閥,透過設置“具體案例研究”對於已經可用的功能,並透過授權某些例外,特別是如果其他瀏覽器已經包含不安全的功能。一種不失去陣地或在競爭中保持優勢的方法。 Mozilla 的陳述很明確:“如果市場壓力要求我們這樣做,我們目前保留在不安全的環境下推出功能的選擇”。
其結果顯然將是網路使用者安全的飛躍。對所諮詢的內容有更多的自由裁量權,透過避免「中間人」攻擊的可能性來提高安全性。廣大民眾可以慶幸。網站開發人員和管理員可能必須審查其工作的某些領域。但歸根結底,如果說 Firefox 的立場看起來很頑固,那麼它是一項長期的努力。更好的是,它肯定先於官方立場W3C 關於這個問題。網路的未來將會更加安全,也可能不會。
來源 :
火狐博客
