Firefox oppdatering vil insistere på sikkerhet for bestemte domener

Mozilla introduserte en forhåndsinstallert liste over domener for Firefox som bare kan kobles til sikkert for å beskytte personvernet og sikkerheten til brukerne.

For å tvinge sikre forbindelser mellom nettleseren og en server, bruker Mozilla HSTS (HTTP Strict Transport Security), en mekanisme som brukes av servere for å indikere at den tilkoblede nettleseren må bruke en sikker tilkobling, skrev Mozillas David Keeler i et blogginnlegg.

Når nettleseren kobler seg til en HSTS-server for første gang, men nettleseren vet ikke om den skal bruke en sikker tilkobling fordi den aldri har mottatt en HSTS-header fra verten. "Derfor kan en aktiv nettverksangriper hindre nettleseren til å koble seg sikkert (og enda verre, brukeren kan aldri forstå at noe er galt)", skriver Keeler, og legger til at det å sette opp forbindelsen på den måten fortsatt gjør det sårbart for angrep.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Som en løsning på dette problemet har Mozilla lagt til en liste over Firefox med domener som nettleseren bare skal koble til sikkert som standard.

"Når en bruker kobler til en av disse vertene for første gang, vil nettleseren vite at den må bruke en sikker tilkobling. Hvis en nettverksangriper forhindrer sikre forbindelser til serveren, vil ikke nettleseren forsøke å koble seg til en usikker protokoll, og dermed opprettholde brukerens sikkerhet, "sa Keeler.

Listen er frøet av domener fra Chrome's HSTS forhåndslastede liste, som har en lignende funksjon til Mozillas. Googles Chrome krever en sikker forbindelse for alle google.com-underdomener, men også lagt til tvungne HTTPS-tilkoblinger for nettsteder som har bedt om det. Sikker tilkobling er tvunget til nettsteder som paypal.com, twitter.com, lastpass.com og torproject.org.

"HSTS i kombinasjon med en forhåndslastet liste over nettsteder kan være et godt verktøy for å øke sikkerheten til brukere" Keeler skrev. Funksjonen er for øyeblikket bare tilgjengelig i Firefox Beta.

Loek er Amsterdam Correspondent og dekker online personvern, immaterielle rettigheter, åpen kildekode og online betalingsproblemer for IDG News Service. Følg ham på Twitter på @loekessers eller email tips og kommentarer til [email protected]