2022年1月27日整理发布:在过去的十年中,Web 浏览器不仅变得更强大,而且变得更加复杂。虽然就功能而言,这可能对人们有利,但当涉及到他们的安全和隐私时,它也可能对他们不利。威胁行为者不知疲倦地寻找可利用的漏洞以获取对用户计算机和手机的访问权限,而浏览器制造商则在玩永无止境的猫捉老鼠游戏来填补这些漏洞。Mozilla 相信它已经为这个问题提出了一个更持久的解决方案,并且正在发布 Firefox 95 版,其中包含一种新的沙箱,即使在发布的第一天出现的错误也可以保护用户。
沙盒是一种将程序与操作系统的其余部分隔离开来的策略,以防止它访问与业务无关的系统部分。如今,几乎所有的 Web 浏览器都使用这种技术,将每个软件进程(通常是每个站点或功能)隔离在自己的沙箱中。黑客不断尝试滥用此类沙盒系统中的错误,以突破边界并可能对用户的计算机造成严重破坏。
Firefox 95针对这个安全问题的新解决方案称为RLBox,它是与加州大学圣地亚哥分校和德克萨斯大学共同开发的。RLBox 不仅仅是隔离进程,而是通过使用两步编译过程有效地隔离代码。在实践中,这意味着有缺陷的代码在一开始就被停止,并且不能突然绕过程序,这通常会导致访问计算机内存的受限区域,进而导致安全漏洞。
然而,RLBox 并不是灵丹妙药,浏览器的某些部分会立即被排除在外。这些部分通常涉及与浏览器的其余部分共享内存,或者对性能非常关键,以至于即使是轻微的延迟也可能是灾难性的。目前,只有五个模块在使用这个沙箱,包括 Firefox 的多媒体、字体和拼写系统。
Firefox 95 还为浏览器带来了其他新花絮,包括它在 Microsoft Store 上的官方可用性。macOS 用户可能会很高兴知道这个版本在流式传输视频时宣传降低了 CPU 使用率以及降低了电源使用率。RLBox 沙盒可用于所有受支持平台上的桌面版和移动版 Firefox。