di Percy Cabello
Dave Townsend di Mozilla ha annunciato una proposta per migliorare il meccanismo di aggiornamento dei componenti aggiuntivi di Firefox. Questa proposta raccoglie un elenco di suggerimenti giunti tramite il forum, i post sui blog e sui newsgroup Mozilla dopo che è stato rivelato che l'attuale meccanismo di aggiornamento non è necessariamente vulnerabile ad un attacco di man-in-the-middle nel quale un hacker potrebbe contraffare il vero sito di aggiornamento e distribuire del software pericoloso, come già riportato nelle scorse settimane.
Si propone l'implementazione di queste tre misure di sicurezza:
- Un hash che agisca come impronta digitale per l'aggiornamento del componente. Questo consentirebbe a Firefox di sapere con certezza che il file di aggiornamento scaricato è quello che si aspettava di trovare.
- Firme digitali. Gli autori delle estensioni cifreranno gli aggiornamenti con la loro chiave privata e Firefox li aprirà con la chiave privata ottenuta in precedenza durante l'installazione del componente. Gli autori delle estensioni saranno in grado di pubblicare il proprio paio di chiavi pubbliche e private.
- Connessioni sicure, la debolezza iniziale. E' ancora consigliato come metodo per garantire che l'aggiornamento sia fornito da una fonte autentica. La firma digitale è un modo alternativo per gli sviluppatori che non hanno accesso ad un server SSL e non vogliono pubblicarla su Mozilla Add-ons, il sito più importante per i componenti aggiuntivi e gli aggiornamenti.
L'implementazione sia di questi che di altri meccanismi di sicurezza degli aggiornamenti dei componenti è prevista per la Beta 1 di Firefox 3.
Nessun commento:
Posta un commento