开源Mozilla Firefox Web浏览器现处在现代IT安全的最前线。毕竟，这款Web浏览器是许多人访问互联网的常用渠道，因而常常也是攻击目标。

  Mozilla的火狐工程技术副总裁Johnathan Nightingale告诉媒体：“我们所做的许多安全工作并不是银弹式(silver bullet)解决方案。实际上是认真考虑人们上网时在哪里遇到了安全问题，哪里存在危险，我们怎样才能防范并消除那些风险。

  对Nightingale来说，他认为网上最大的安全漏洞来源是Java和Flash之类的插件。虽然Mozilla并不直接负责插件代码，但是它通过采取许多方法，有助于为用户确保安全，远离恶意插件的活动。为了确保插件的稳定性和安全性，仍有更多的工作要做，而Mozilla的“点击运行”(click-to-play)插件方法现在给这方面带来了影响。有了点击运行机制，插件就不会自动在默认情况下启动。

  Nightingale说：“就许多插件而言，我们默认情况下这么认为，如果用户想与插件内容进行互动，他们可以明确激活插件。不会再有任何潜伏内容驻留在页面的后台;如果是恶意内容，这些潜伏内容还能攻击用户，甚至用不着用户与它进行互动。”

  所有现代浏览器普遍存在的最常见的软件安全漏洞之一是，释放后使用(use-after-free)的代码安全漏洞。借助释放后使用的安全漏洞，攻击者就有可能利用已分配内存来发动攻击。

  Nightingale说：“只要人们用C和C++编写代码，就会存在内存安全问题，可以这么说。Mozilla有一些相当稳健的防御机制，可以及早发现许多内存安全问题，但内存管理却是计算机业界的难题之一。”话虽如此，Mozilla的确开展有一个日常性项目，将代码由C/C++改为像JavaScript这样的管理型代码系统。

  如今互联网上的一个常见的安全风险是，当普通的HTTP内容与加密页面上的HTTPS安全内容混合在一起时。风险在于，HTTP内容有可能危及本该安全的内容的安全性。

  Nightingale说：“我们有一个用户界面，如今正在进行测试，以便在默认情况下阻止混合内容，但是万一内容看起来出了问题，又为用户提供了一些选项。”整个SSL一向是Mozill关注的焦点。

  Mozilla开展的其中一项工作就是针对SSL证书锁定。借助证书锁定机制，火狐用户遇到的网站拥有SSL证书，而不是它应该拥有的证书后，就会显示警示信息。Mozilla还在HSTS协议(HTTP严格传输安全)方面开展了工作，该协议让网站能够总是明确要求通过SSL进行连接。

  更多内容尽在：www.commernet.cn