Mozilla 推出全新沙盒技术 RLBox,关键组件由go语言编写


Mozilla 今天通过其 Mozilla Hacks 博客对外宣布,他们计划为 Firefox 浏览器新增一个名为 RLBox 的新型沙盒技术,该技术是 Mozilla 与加州大学圣地亚哥分校(UCSD)和德克萨斯大学(UT)的研究人员所共同开发的,并将随 Firefox 95 一同推出。Mozilla 表示,RLBox 能够更轻松有效地隔离浏览器的子组件,并为 Mozilla 提供了比传统沙盒技术更多的优势。

沙盒是整个行业广泛使用的技术,浏览器可以在沙盒进程中运行 Web 内容,以尝试阻止恶意或有漏洞的单一站点危及整个浏览器。

RLBox 旨在对第三方库进行沙盒处理,它由一个基于 WebAssembly 的沙盒和一个 API 组成,用于在沙盒库内改进现有的应用程序代码。RLBox 将把沙盒库的内存与应用程序/Firefox 的内存隔离开来。RLBox 与传统方法的另一个不同之处在于,它对性能的影响和内存使用更低,这也使得它有可能对关键的浏览器组件进行沙盒处理。

该技术的原型此前已在 Firefox 74 和 Firefox 75 中分别提供给了 Linux 和 Mac 用户。随着 Firefox 95 的推出,RLBox 将脱离原型阶段并且不再局限于 Linux 和 Mac,RLBox 后续将被部署至所有支持的 Firefox 平台上,包括桌面端和移动端。在即将推出的 Firefox 95 中,RLBox 将率先用于隔离三个不同的模块:Graphite、Hunspell 和 Ogg。在 Firefox 96 中,另外两个模块:Expat 和 Woff2 也将被隔离。

Mozilla 工程师 Bobby Holley 表示:

RLBox 让我们在几个方面都能获得巨大的好处:它能够保护用户不受意外缺陷和供应链攻击的影响,而且它们中的任何一个零日漏洞也不会对 Firefox 构成威胁,也能减少我们仓促应付的情况发生。因此,我们打算在未来将 RLBox 继续应用于更多的组件。虽然有些组件由于太依赖与程序的其他部分共享内存,以及对性能太敏感,并不适合这种方法,但我们已经确定了其他一些良好的候选者。

Mozilla 还一同更新了漏洞悬赏计划,在新的计划中,即使隔离库中没有漏洞,但只要研究人员能够绕过新的沙盒就能获得报酬,这也有助于进一步加强 Firefox 浏览器的安全性。

RLBox 并非只能用于 Firefox 浏览器,Mozilla 还希望其他浏览器和软件项目也能够采用这项技术,从而为用户在更广泛的应用领域带来更高的安全性。如无意外,Firefox 95 将于今天晚些时候正式推出。


相關推薦

2023-04-08

Wasmer 团队宣布推出 WCGI —— 即 WebAssembly + CGI,可使用 WebAssembly 进行服务器端开发。 WCGI 将 WebAssembly 的强大功能与 CGI 的易用性和多功能性结合在一起。通过 WCGI,开发者使用 WebAssembly 和 Wasmer 即可运行任何 CGI 应用程序。

2022-10-24

创业生态系统,微软、亚马逊、谷歌、Fastly、Cloudflare、Mozilla等科技巨头也开始认识到Wasm是支持下一代云工作负载的有效底层,他们正在积极为标准机构和非营利组织(如W3C和字节码联盟)做出贡献,以推动这个社区的发展。CNC

2023-01-19

Mozilla 计划于 2023 年 2 月在 Firefox 110 Stable for Windows 中启用 GPU 沙盒,通过对 GPU 进程应用隔离来提高 Firefox 的安全性。 通过沙盒隔离进程,可以切断恶意软件与其他软件的联系,保护设备上的其他进程。Firefox 已经支持多个沙

2022-03-24

 2022 年 3 月的统计信息进行数据可视化后,发现诞生于 Mozilla 的 Rust 编程语言只占 Firefox 浏览器代码的 9.9%。 Rust 语言最初由 Firefox 制造商 Mozilla 推出,由 web 领域领军人物、JavaScript 之父 Brendan Eich、Dave Herman 、Graydon Hoare 合

2023-05-24

择,但为什么并没有成功的案例? 操作系统由不同的组件构成,它们负责不同的功能,可以使用不同的编程语言编写。 操作系统的核心是内核 (Kernel),它负责与硬件交互——几乎都是采用 C 或汇编语言编写。至于面向用户的

2023-02-24

务器和客户端逻辑,Ambient 可自动处理数据同步。 独立沙盒:开发者为 Ambient 构建的项目通过 WebAssembly 的隔离功能执行。因此如果出现崩溃,它不会破坏整个程序,这也意味着可以安全地运行不受信任的代码。 面向

2023-03-31

投入 AI”,更不如说这是 Darklang 的濒死一博。几年前刚推出的时候还有一些讨论 Darklang 的声音,但现在几乎看不到它的消息。经济方面,Darklang 的上一笔融资还是 2019 年的 350 万美金,宣布转型 AI 的前一篇博客标题是《赞助 Dar

2023-04-18

工具链更新 KCL VS Code 插件 在此次更新中,我们发布了全新的 KCL VS Code 插件和使用 Rust 语言重写的语言服务服务器,相比于之前 KCL 版本性能约提升 20 倍,并支持了 KCL 错误警告在 IDE 中实时显示,以及 KCL 代码补全等新功能

2022-07-15

今年二月份的时候,Google 推出了 “全新” 的操作系统 chromeOS Flex,在经过五个多月的早期预览阶段后,chromeOS Flex 在今天推出首个稳定版本(版本 103),稳定版本意味着所有对这个系统感兴趣的用户都可以安装使用了,可以满

2023-03-06

展对市场的影响,以及大众对 Google、Meta 和其他公司即将推出的产品的期待。另一方面,开发人员对强化学习的兴趣则下降了 14%,对关于聊天机器人内容的兴趣也下降了 5.8%。 编程语言方面,Java 和 Python 仍然遥遥领先,并且分

2023-11-17

OpenAI 近日为 ChatGPT 推出了全新的代码解释器(Code Interpreter)工具,可以帮助程序员调试、完善代码编程工作。该工具可以利用 AI 来编写 Python 代码,所编写的代码甚至可以在沙盒中运行。 不过根据 Johann Rehberger 网络安全专家

2022-03-01

Mozilla Ideas 是 Mozilla 在 2021 年 6 月推出的平台,用于改善 Mozilla 与 Firefox 社区之间的沟通。Firefox 用户可以在该平台上发表如何改进 Firefox 浏览器的想法,每个使用该平台的人都可以对这些想法进行评论,还可以对其进行投票。

2023-03-18

6 版本首发 在经过近4个月的开发后,搭载全新内核的洛书1.6系列终于与大家见面了 基本信息 项目 信息 版本号 1.6.x 内核 EasyLosu 1.x 版本代号 Rex Lapis 更新方式 长期支持 + 修订

2022-11-22

客的最新信息,Google 将从明年初开始,向 Android 13 设备推出隐私沙盒测试版,以便开发人员可以测试新的隐私保护解决方案,他们将从一小部分设备开始,并随着时间的推移增加参与测试的设备数量。 虽然 Google 此前已经推出