В последней версии браузера Mozilla Firefox 95 появилась новая функция безопасности, призванная ограничить ущерб, который могут вызвать ошибки и уязвимости в его коде. Функция под названием RLBox разрабатывалась при содействии исследователей из Калифорнийского университета в Сан-Диего и Техасского университета. Она впервые появилась в качестве прототипа в прошлом году, а теперь стала доступной в настольной и мобильной версиях Firefox 95.
По своей сути RLBox представляет собой технологию «песочницы». Она может эффективно изолировать код, чтобы любые содержащиеся в нём уязвимости безопасности не могли нанести вред всей системе. Песочница – это широко используемый в отрасли способ обеспечения безопасности. Браузеры уже запускают веб-контент в изолированных процессах, чтобы не дать вредоносным или сбойным сайтам скомпрометировать браузер в целом.
Однако RLBox отличается от этого традиционного подхода к обеспечению безопасности. Данный метод не оказывает столь существенного влияния на производительность и не требует большого количества памяти.
Он позволяет изолировать критически важные подкомпоненты браузера, такие как средство проверки орфографии, эффективно обрабатывая их как ненадёжный код, но продолжая работать в том же процессе. Это накладывает ограничения на то, как может выполняться код, или к какой памяти он может получить доступ.
На сегодняшний день Firefox изолирует 5 собственных модулей: механизм рендеринга шрифтов Graphite, средство проверки орфографии Hunspell, контейнер мультимедийного формата Ogg, синтаксический анализатор Expat XML и формат сжатия веб-шрифтов Woff2. Таким образом, если в одном из этих подкомпонентов будут обнаружены ошибки или уязвимости, они не позволят взломать весь браузер.
«Даже уязвимость нулевого дня в любом из них не должна представлять угрозы для Firefox», — заявляет Mozilla.
Вместе с тем, Mozilla признает, что это не универсальное решение, и такой подход не будет работать везде, например, в компонентах браузера, особенно чувствительных к производительности. Но компания надеется, что эту технологию будут реализовывать другие браузеры и программные проекты. Также в будущем она планирует использовать её с другими компонентами Firefox.
Источник: The Verge