Mozilla i BlackBerry zawarły sojusz na rzecz zwiększenia bezpieczeństwa Sieci i przeg

Coraz więcej oprogramowania uruchamianego przez przeglądarkę, coraz więcej potrafiące przeglądarki – i coraz więcej złośliwego kodu, wykorzystującego luki w webowym oprogramowaniu do atakowania użytkowników. Tak to wygląda w Anno Domini 2013, a jaka może być przyszłość? Mozilla chce, by te dwa pierwsze aspekty współczesnego software'owego pejzażu nie prowadziły z konieczności do trzeciego. W sojuszu z BlackBerry zamierza więc zaangażować się w rozwój narzędzia o nazwie Peach, fuzzera do wyszukiwania luk bezpieczeństwa w przeglądarkach. Producent Firefoksa przy okazji przedstawił też projekt o nazwie Minion, narzędzie mające przynieść odmienne podejście do kwesti automatycznych testów aplikacji webowych.

Fuzzery to narzędzia do automatycznego lub półautomatycznego testowania oprogramowania, pozwalające na wprowadzanie do programu losowo generowanych, niepoprawnych, niezgodnych z oczekiwanym typem danych, a następnie obserwowanie jego zachowania, w oczekiwaniu na awarię, która ujawniłaby błędy w kodzie. W połączeniu z debuggerami, fuzzery są w stanie wykryć wycieki pamięci – dla dużych aplikacji jedne z najgroźniejszych podatności.

Stworzony w 2004 roku Peach jest jednym z najbardziej znanych narzędzi tego typu, dostępnym już (dzięki frameworkowi Mono) nie tylko na Windows, ale też na OS-a X i Linuksa. Michael Coates, dyrektor bezpieczeństwa w Mozilli twierdzi, że już od jakiegoś czasu narzędzie to jest wykorzystywane w Mozilli do fuzzingu obsługi wielu elementów HTML5, w tym formatów audio i wideo, interfejsów programowania takich jak WebGL czy WebAudio, czy protokołów takich jak WebRTC. Uzyskane wyniki pozwalają lepiej zabezpieczyć zarówno Firefoksa jak i mobilny system operacyjny Firefox OS.

Już niebawem to opensource'owe narzędzie ma pomóc w kompleksowym testowaniu zabezpieczeń przeglądarek. Do prac nad rozwojem Peacha Mozilla przystąpiła w tandemie z niespodziewanym partnerem – firmą Blackberry, która od lat korzystać ma z rozwijanych przez niezależnych programistów fuzzerów, jako uzupełnienia własnego zestawu narzędzi do prowadzenia badań nad lukami w oprogramowaniu. Bezpieczeństwo to wyzwanie dla całej branży, problem którego nie można rozwiązać w próżni, dlatego właśnie badacze Mozilli i BlackBerry pracują razem nad nowymi i innowacyjnymi narzedziami do wykrywania zagrożeń dla przeglądarek – wyjaśnił Adrian Stone, dyrektor bezpieczeństwa w BlackBerry.

Mozilla przedstawiła też narzędzie Minion, które pozwolić ma każdemu programiście, nawet nie mającemu specjalistycznej wiedzy z zakresu bezpieczeństwa IT, na przetestowanie aplikacji pod kątem występujących w nim luk. Pozwala ono na integrację zautomatyzowanych testów witryn i aplikacji, przynosząc rozsądne domyślne ustawienia i już teraz wykorzystywane jest wewnętrznie przez deweloperów, testerów i specjalistów od bezpieczeństwa. Udostępniona wersja nosi numer 0.3, a prace nad kolejnymi funkcjonalnościami wciąż trwają – kolejne wersje przynieść mają m.in. weryfikację własności witryn, precyzyjną kontrolę dostępu, raportowanie, podłączanie wtyczek do usług innych platform Security-as-a-Service czy śledzenie historii bezpieczeństwa projektu.

W ten sposób, jak wyjaśnia Coates, Mozilla chce zarówno uczynić Sieć jeszcze bezpieczniejszą, jak i chronić użytkowników Firefoksa. Starania te, jak pokazuje współpraca z BlackBerry, nie ograniczają się tylko do własnych produktów, co jest godnym pochwały, choć niestety rzadkim w tej branży zjawiskiem.