Веб-серферам, которые в качестве безопасной альтернативы рассматривают браузеры на базе Mozilla, лучше отложить переход еще на неделю.
Дело в том, что Mozilla Foundation, группа разработчиков браузера с открытым исходным кодом, обнаружила пару серьезных ошибок в механизме работы браузеров с серти
икатами – цифровыми документами, подтверждающими подлинность веб-сайтов.
Инженеры Mozilla оказались застигнутыми врасплох, так как проблемный код восходит еще к проприетарному предку браузера – Netscape. “Этому коду шесть или семь лет, так что все серьезные баги выловлены еще во времена Netscape 4.0, – говорит главный инженер Mozilla Foundation Крис Хофманн. – Мы давно не находили там ничего серьезного и очень удивились”.
Ошибки управления сертификатами всплыли в неудачное для проекта время: специалисты по безопасности как раз продвигают браузеры Mozilla Foundation и Opera в качестве более надежной альтернативы доминирующему программному обеспечению Microsoft Internet Explorer.
Хотя Mozilla и другие конкуренты IE утверждают, что их модель защиты гораздо надежнее, они признают также, что на Microsoft нацелено больше атак просто потому, что это лидер рынка. Если же Mozilla и другие второстепенные браузеры обретут популярность, ситуация может измениться.
Информация о первой из двух обнаруженных ошибок опубликована в вебе и списке рассылки Bugtraq Эммануэлем Келлинисом. Она позволяет злоумышленнику заманить посетителя на подложный веб-сайт якобы банка или крупной компании, подделав сертификат. Проблема связана с работой стандартного механизма извлечения контента из веб-сайтов, которые пользователь еще не посещал.
Обычно, когда контент защищенного веб-сайта вовлекается в такие схемы с участием постороннего сайта, он забирается в кэш браузера, и тот предупреждает об этом пользователя, заменяя значок ключа значком сломанного ключа. Однако ошибка в системе кэширования Mozilla допускает возможность сохранения ключа несломанным даже при импортировании контента с других сайтов и отображения сайта злоумышленника с сертификатами защиты подлинного сайта. Таким образом, злоумышленник может убедительно выступать от лица eBay или Bank of America, воруя кредитные карты или реализуя мошеннические схемы.
Вторая, менее серьезная ошибка обнародована через собственную систему отслеживания багов Mozilla Bugzilla (http://bugzilla.mozilla.org/show_bug.cgi?id=249004) и позволяет организовывать атаки типа denial-of-service. Из-за этой ошибки фальшивый сертификат может вызывать искажение подлинного. В результате посетителю подлинного сайта будет отказано в доступе.
В Mozilla пока не решили, выпускать ли отдельные поправки или просто включить их в будущие версии браузеров. Последними версиями браузеров на базе Mozilla являются Mozilla 1.7.1 и Firefox 0.9.2. Ожидается, что исправления или новые версии браузеров появятся примерно через неделю