ي محاولة للتخفيف من فئة كبيرة من مشكلات البرمجة النصية عبر المواقع المحتملة في Firefox ، حظرت Mozilla تنفيذ جميع البرامج النصية المضمّنة والوظائف التي قد تشبه eval الخطرة المضمنة لـ “حول: الصفحات” المضمّنة التي تشكل بوابة للتفضيلات الحساسة ، الإعدادات ، واحصائيات المتصفح.
يحتوي مستعرض Firefox على 45 من الصفحات الداخلية المستضافة محليًا حول هذه الصفحات ، بعضها مدرج أدناه وقد لاحظته أو استخدمته في مرحلة ما:
حول: config – لوحة لتعديل تفضيلات Firefox والإعدادات الحرجة.
حول: التنزيلات – التنزيلات الحديثة التي تمت داخل Firefox.
حول: الذاكرة – يظهر استخدام الذاكرة من فايرفوكس.
حول: newtab – صفحة علامة التبويب الجديدة الافتراضية.
حول: الإضافات – يسرد جميع الإضافات بالإضافة إلى معلومات أخرى مفيدة.
حول: privatebrowsing – افتح نافذة خاصة جديدة.
حول: الشبكات – يعرض معلومات الشبكات.
تجدر الإشارة إلى أن هذه التغييرات لا تؤثر على كيفية عمل مواقع الويب من الإنترنت على متصفح Firefox ، ولكن مع المضي قدمًا ، يتعهد Mozilla بـ “التدقيق عن كثب وتقييم” استخدامات الوظائف الضارة في امتدادات الطرف الثالث والآليات المدمجة الأخرى.
تم تعطيل فايرفوكس JavaScript مضمّن للأمان
نظرًا لأن كل هذه الصفحات مكتوبة بلغة HTML / JavaScript وتُعرض في سياق أمان المستعرض نفسه ، فإنها أيضًا عرضة لهجمات الحقن في الكود والتي قد تسمح للمهاجمين عن بُعد بضخ وتنفيذ تعليمات برمجية عشوائية نيابة عن المستخدم ، أي هجمات البرمجة النصية للمواقع المشتركة (XSS).
لإضافة خط دفاع أول قوي ضد هجمات حقن الأكواد ، حتى إذا كان هناك ثغرة أمنية ، فقد منعت موزيلا تنفيذ جميع البرامج النصية المضمنة ، وبالتالي البرامج النصية المحقونة أيضًا ، من خلال تطبيق سياسات صارمة لأمن المحتوى (CSP) لضمان جافا سكريبت يتم تنفيذ التعليمات البرمجية فقط عند تحميلها من مورد محزوم باستخدام البروتوكول الداخلي.
ولتحقيق ذلك ، كان على موزيلا إعادة كتابة جميع معالجات الأحداث المضمّنة ونقل كل شفرة جافا سكريبت المضمّنة خارج الخط إلى ملفات منفصلة معبأة لكل 45 صفحة: حول.
وقالت موزيلا في منشور بالمدونة نُشر في وقت سابق اليوم “عدم السماح بأي نص مضمّن في أيٍّ من: تقيد الصفحات سطح الهجوم لتنفيذ التعليمات البرمجية التعسفية ، وبالتالي توفر خط دفاع قويًا ضد هجمات الحقن بالرمز”.
لا EVAL ، لا EVAL !
عندما يتعذر على المهاجمين حقن البرنامج النصي مباشرةً ، فإنهم يستخدمون وظيفة JavaScript eval () وطرق مشابهة لخداع التطبيقات المستهدفة لتحويل النص إلى JavaScript قابل للتنفيذ لتحقيق حقن الشفرة.
لذلك ، بالإضافة إلى البرامج النصية المضمّنة ، قامت Mozilla أيضًا بإزالة وحظر الوظائف الشبيهة بالإيفال ، والتي يعتقد صانع المتصفح أنها “أداة خطيرة” أخرى ، حيث تقوم بتوزيع وتنفيذ سلسلة تعسفية في نفس سياق الأمان نفسه.
“إذا قمت بتشغيل eval () بسلسلة يمكن أن تتأثر بطرف ضار ، فقد ينتهي بك الأمر تشغيل تعليمات برمجية ضارة على جهاز المستخدم بأذونات من صفحة / امتداد الويب الخاص بك” ، تشرح Mozilla في مستندات الويب الخاصة بـ MDN.