Mozilla i BlackBerry zawarły sojusz na rzecz zwiększenia bezpieczeństwa Sieci i przeglądarek

Coraz więcej oprogramowania uruchamianego przez przeglądarkę,coraz więcej potrafiące przeglądarki – i coraz więcejzłośliwego kodu, wykorzystującego luki w webowym oprogramowaniu doatakowania użytkowników. Tak to wygląda w Anno Domini 2013, a jakamoże być przyszłość? Mozilla chce, by te dwa pierwsze aspektywspółczesnego software'owego pejzażu nie prowadziły z konieczności dotrzeciego. W sojuszu z BlackBerry zamierza więc zaangażować się wrozwój narzędzia o nazwie Peach, fuzzera do wyszukiwania lukbezpieczeństwa w przeglądarkach. Producent Firefoksa przy okazjiprzedstawił też projekt o nazwie Minion, narzędzie mające przynieśćodmienne podejście do kwesti automatycznych testów aplikacjiwebowych.Fuzzery to narzędzia doautomatycznego lub półautomatycznego testowania oprogramowania,pozwalające na wprowadzanie do programu losowo generowanych,niepoprawnych, niezgodnych z oczekiwanym typem danych, a następnieobserwowanie jego zachowania, w oczekiwaniu na awarię, któraujawniłaby błędy w kodzie. W połączeniu z debuggerami, fuzzery są wstanie wykryć wycieki pamięci – dla dużych aplikacji jedne znajgroźniejszych podatności.[img=peach-opener]Stworzony w 2004 roku Peach jest jednym z najbardziej znanych narzędzi tego typu, dostępnym już(dzięki frameworkowi Mono) nie tylko na Windows, ale też na OS-a X iLinuksa. Michael Coates, dyrektor bezpieczeństwa w Mozilli twierdzi,że już od jakiegoś czasu narzędzie to jest wykorzystywane w Mozillido fuzzingu obsługi wielu elementów HTML5, w tym formatów audio iwideo, interfejsów programowania takich jak WebGL czy WebAudio, czyprotokołów takich jak WebRTC. Uzyskane wyniki pozwalają lepiejzabezpieczyć zarówno Firefoksa jak i mobilny system operacyjnyFirefox OS.Już niebawem to opensource'owenarzędzie ma pomóc w kompleksowym testowaniu zabezpieczeńprzeglądarek. Do prac nad rozwojem Peacha Mozilla przystąpiła wtandemie z niespodziewanym partnerem – firmą Blackberry, któraod lat korzystać ma z rozwijanych przez niezależnych programistówfuzzerów, jako uzupełnienia własnego zestawu narzędzi do prowadzeniabadań nad lukami w oprogramowaniu. Bezpieczeństwo towyzwanie dla całej branży, problem którego nie można rozwiązać wpróżni, dlatego właśnie badacze Mozilli i BlackBerry pracują razemnad nowymi i innowacyjnymi narzedziami do wykrywania zagrożeń dlaprzeglądarek – wyjaśniłAdrian Stone, dyrektor bezpieczeństwa w BlackBerry.[img=Fuzzing-for-Bugs]Mozilla przedstawiła teżnarzędzieMinion, które pozwolić ma każdemu programiście, nawet niemającemu specjalistycznej wiedzy z zakresu bezpieczeństwa IT, naprzetestowanie aplikacji pod kątem występujących w nim luk. Pozwalaono na integrację zautomatyzowanych testów witryn i aplikacji,przynosząc rozsądne domyślne ustawienia i już teraz wykorzystywanejest wewnętrznie przez deweloperów, testerów i specjalistów odbezpieczeństwa. Udostępniona wersja nosi numer 0.3, a prace nadkolejnymi funkcjonalnościami wciąż trwają – kolejne wersjeprzynieść mają m.in. weryfikację własności witryn, precyzyjnąkontrolę dostępu, raportowanie, podłączanie wtyczek do usług innychplatform Security-as-a-Service czy śledzenie historii bezpieczeństwaprojektu.W ten sposób, jak wyjaśniaCoates, Mozilla chce zarówno uczynić Sieć jeszcze bezpieczniejszą,jak i chronić użytkowników Firefoksa. Starania te, jak pokazujewspółpraca z BlackBerry, nie ograniczają się tylko do własnychproduktów, co jest godnym pochwały, choć niestety rzadkim w tejbranży zjawiskiem.