Michael Cobb是認(rèn)證信息系統(tǒng)安全架構(gòu)專(zhuān)家(CISSP-ISSAP)，知名的安全作家，具有十多年豐富的IT行業(yè)經(jīng)驗(yàn)，并且還從事過(guò)十六年的金融行業(yè)。他是Cobweb Applications公司的創(chuàng)始人兼常務(wù)董事，該公司主要提供IT培訓(xùn)，以及數(shù)據(jù)安全和分析的支持。Michael還合著過(guò)IIS Security一書(shū)，并為領(lǐng)先的IT出版物撰寫(xiě)過(guò)無(wú)數(shù)科技文章。此外，Michael還是微軟認(rèn)證數(shù)據(jù)庫(kù)系統(tǒng)管理員和微軟認(rèn)證專(zhuān)家。

雖然“圍墻花園”(walled garden)可以幫助保護(hù)Web瀏覽器，但并非所有人都認(rèn)為這是個(gè)好用的功能。

在新推出的Firefox中Mozilla中包含“圍墻花園”。圍墻花園如何保護(hù)Web瀏覽器?為什么圍墻花園并不被視為是好方法?

[[147624]]

Michael Cobb：為了提高瀏覽器的普及度以及加強(qiáng)用戶忠誠(chéng)度，供應(yīng)商通常采用的一種方法是鼓勵(lì)獨(dú)立開(kāi)發(fā)人員創(chuàng)建加載項(xiàng)、插件及其他擴(kuò)展來(lái)提供額外的功能，并允許用戶自定義其瀏覽器，以讓瀏覽器以最適合他們的方式來(lái)運(yùn)行。但這種做法的不足之處是，糟糕編寫(xiě)的插件會(huì)影響瀏覽器以及系統(tǒng)的穩(wěn)定性，而惡意插件會(huì)讓個(gè)人信息面臨風(fēng)險(xiǎn)。

Mozilla插件平臺(tái)向來(lái)對(duì)開(kāi)發(fā)人員非常開(kāi)放。開(kāi)發(fā)人員不僅能夠以激進(jìn)和創(chuàng)新的方式來(lái)更改Firefox，他們還可完全自由地從其自己的網(wǎng)站分發(fā)其附加組件，而不一定要通過(guò)AMO—Mozilla附加組件網(wǎng)站資料庫(kù)。這給真正的開(kāi)發(fā)人員提供了巨大的靈活性，但也讓惡意攻擊者可以利用Firefox用戶。例如，現(xiàn)在有些惡意擴(kuò)展已經(jīng)很普遍，它們可在未經(jīng)用戶同意的情況下更改主頁(yè)和搜索設(shè)置，還可以注入廣告到網(wǎng)頁(yè)或甚至注入惡意腳本到社交媒體網(wǎng)站。

Mozilla已經(jīng)嘗試執(zhí)行插件指導(dǎo)準(zhǔn)則，插件創(chuàng)建者必須遵守這些準(zhǔn)則，遠(yuǎn)程禁用不兼容的擴(kuò)展。大多數(shù)違反這些準(zhǔn)則的擴(kuò)展都是通過(guò)在AMO之外來(lái)分發(fā)，而追蹤這些擴(kuò)展幾乎不太可能，所以Mozilla決定需要改變Firefox插件開(kāi)發(fā)以提高安全性和性能。

當(dāng)Firefox 39版本在今年晚些時(shí)候發(fā)布時(shí)，Mozilla將要求所有插件經(jīng)過(guò)AMO審查和代碼簽名，即使是在Mozilla的AMO外自托管的插件。雖然開(kāi)發(fā)人員不會(huì)被迫只可通過(guò)AMO分發(fā)其擴(kuò)展，但他們必須提交其插件進(jìn)行審查，并獲得簽名。在過(guò)渡期結(jié)束后，用戶將無(wú)法在Firefox正式版或測(cè)試版中安裝未簽名的擴(kuò)展，并且，不會(huì)有任何偏好或命令行選項(xiàng)來(lái)禁用此配置。目前該公司還沒(méi)有透露那些將不會(huì)被公開(kāi)分發(fā)的插件(例如為內(nèi)部使用而開(kāi)發(fā)的插件)將如何處理。

在軟件開(kāi)發(fā)過(guò)程中，功能與安全的平衡一直是難題，對(duì)于瀏覽器尤其是如此，畢竟瀏覽器是訪問(wèn)互聯(lián)網(wǎng)以及訪問(wèn)未知和不受信任來(lái)源內(nèi)容的最常用界面。Firefox插件執(zhí)行時(shí)可完全控制瀏覽器，與Chrome和Safari不同，沒(méi)有任何障礙阻止它們彼此隔離或與瀏覽器隔離;這是讓開(kāi)發(fā)人員實(shí)現(xiàn)強(qiáng)大水平定制化和附加功能的原因—既是優(yōu)點(diǎn)也是缺點(diǎn)。新的審查過(guò)程可能會(huì)在一定程度上提高安全性，但這在很大程度上依賴(lài)于自動(dòng)化和人類(lèi)審查者找到可能隱藏的攻擊向量，鑒于提交的數(shù)量以及現(xiàn)代惡意軟件的復(fù)雜性，這將是艱巨的任務(wù)。

很多Firefox粉絲對(duì)這些擬議的改變很失望，因?yàn)樗麄儗o(wú)法允許安裝未簽名的擴(kuò)展，即使用戶理解這其中的風(fēng)險(xiǎn)。通過(guò)迫使開(kāi)發(fā)人員經(jīng)過(guò)漫長(zhǎng)的審查程序以讓其擴(kuò)展獲得批準(zhǔn)或發(fā)布重要安全更新，Mozilla可能面臨失去開(kāi)發(fā)人員青睞的風(fēng)險(xiǎn)，如果他們不能及時(shí)修復(fù)漏洞，也可能降低擴(kuò)展的安全性。

Firefox可用插件的數(shù)量是其最大的優(yōu)勢(shì)之一，而現(xiàn)在開(kāi)發(fā)人員需要通過(guò)額外的步驟來(lái)讓其插件可用，這可能會(huì)減少愿意支持Firefox的開(kāi)發(fā)人員的數(shù)量。這個(gè)所謂的圍墻花園可能幫助保護(hù)用戶抵御惡意插件，但它也有缺點(diǎn)，瀏覽器供應(yīng)商需要在確保插件生態(tài)系統(tǒng)繼續(xù)蓬勃發(fā)展與保持用戶安全之間做好平衡。