LAS VEGAS – Pada konferensi Black Hat pada hari Rabu (28/07), tiga orang perwakilan keamanan dari Mozilla merinci bagaimana perusahaan tersebut mendorong browser menjadi lebih aman bagi pengguna sementara memungkinkan para developer melakukan praktik coding yang lebih aman.
Salah satu perbaikan terbesar yang telah diimplementasikan dalam versi 4 beta Firefox adalah perbaikan lubang yang mempengaruhi kerentanan serangan seperti semua browser di versi sebelumnya. Serangan yang biasa terjadi adalah serangan membaca jejak history browser, di mana kode berbahaya bisa mendapatkan akses ke history browser Anda dengan memanipulasi tampilan dan gaya link. Mengganti warna link yang sudah dikunjungi adalah salah satu fitur yang paling banyak digunakan oleh situs web, dan akan menjadi bencana besar untuk mencegah serangan jenis itu.
David Baron dari Mozilla menemukan cara untuk memecahkan masalah tersebut dengan pendekatan tiga cabang yang berfokus pada pengguna, bukan situs web. Solusi yang dirancang David akan membatasi aspek dari link yang bisa merubah warna, kemudian “berbohong” melalui JavaScript sehingga meskipun halaman tersebut menunjukkan daftar link dan melaporkan kembali, tetap seakan terlihat seperti belum dikunjungi.
“Dengan membatasi link, ada pilihan yang lebih sedikit untuk eksploitasi link,” kata David.
Kerusakan lain yang ditujukan dalam versi beta 4 Firefox adalah serangan script utama XSS. XSS merupakan sebuah kerentanan keamanan pada komputer yang biasa ditemui di aplikasi web yang memungkinkan serangan berbahaya menginjeksikan script pihak ketiga ke web yang dilihat pengguna.
Brandon Sterne, manajer program keamanan Firefox, mengatakan bahwa Content Security Policy (CSP) Firefox yang baru ini mengarahkan langsung ke jenis permasalahan browser. CSP ini dirancang agar memiliki kemampuan backward yang memungkinkan pengguna untuk kembali ke halaman sebelumnya di situs web yang ia kunjungi.
Keamanan browsing berarti lebih dari sekedar menerapkan tambalan untuk kerentanan. Jonathan Nightingale, direktur pengembangan Firefox, menunjukkan bahwa memperbaiki keamanan terbesar untuk Firefox 3 adalah dengan melaksanakan penghematan sesi, yang membuatnya lebih mudah bagi pengguna untuk mengembalikan tab yang terbuka setelah menutup browser. Hal itu mendorong mereka untuk melakukan update secara lebih teratur, termasuk update titik keamanan yang kecil namun tetap penting.
Perubahan lain di Firefox 4 yang dijanjikan adalah dalam hal sistem update browsernya, yang akan lebih mirip seperti update otomatis Google Chrome.
“Ada update yang kami ingin Anda ketahui, dan Anda akan memiliki pilihan untuk menginstalnya atau tidak, tapi ada juga update yang kita tujukan hanya untuk mendapatkan tambalan keamanan kita,” kata Nightingale, seperti dilansir web download.cnet.com
Selain itu, pada Firefox 4, terdapat fitur Geolocation yang lebih ramah. Fitur ini dapat memberitahukan lokasi tempat Anda berada kepada situs web agar informasi pencarian dapat lebih sesuai dan cocok untuk Anda. Pada tahap perkembangan ini, Anda dapat mengabaikan semua tanda Geolocation, mematikan layanan ini sepenuhnya, atau kembali mengubah pilihan awal Anda.
Fitur plug-in out-of-process yang dirilis di Firefox 3.6.4, awalnya bernama code “elektrolisis,” dan juga akan dirilis juga pada versi 4, akan mencakup proses isolasi konten dan kerangka pengayaan (add-on) baru yang dikenal sebagai Jetpack. Ini berarti bahwa ketika salah satu add-on atau konten proses mengalami bentrokan, maka keseluruhan browser tidak akan terbawa hilang semua. (evy)
foto : cnet.com
