Interview mit Dave Camp, Vice President of Engineering bei Firefox bei Mozilla

Mozillas Projekt Dinge

(in) Secure ist eine wöchentliche Kolumne, die sich mit dem schnell wachsenden Thema Cybersicherheit befasst.

Von allen Browsern hat Firefox die längste Geschichte, in der Sicherheit sowohl technisch als auch philosophisch im Vordergrund steht. Die Muttergesellschaft des Browsers, Mozilla, ist aktiv an vielen Cybersicherheitsinitiativen beteiligt. Sie hat Klage gegen die FCC wegen Netzneutralität eingereicht, Do Not Track bei ihrem Debüt eifrig übernommen und sich mit der Washington Post zusammengetan , um Online-Kommentare zu verbessern.

Dave Camp, Vizepräsident für Ingenieurwesen bei Mozilla. Mozilla

Die jüngsten Ereignisse des letzten Jahres haben Sicherheit und Datenschutz in ein neues, intensives Licht gerückt, da in letzter Zeit fast jeder von Sicherheitsproblemen betroffen war - sei es eine Sicherheitslücke des Prozessors oder die Verletzung eines großen Unternehmens wie Equifax.

Die Kolumne dieser Woche ist ein Interview mit Dave Camp, Vice President of Engineering bei Mozilla bei Firefox. Wir besuchten Mozillas Büro in Portland, Oregon, um drohende Sicherheitsbedrohungen wie die Meltdown- und Spectre-Mängel, die sich auf Intel-Prozessoren auswirken, und das Datenschutzdebakel von Facebook zu erörtern.

Digitale Trends: Jüngste Probleme wie Meltdown und Ryzenfall haben den Anschein erweckt, dass in jedem Gerät eine Vielzahl von Sicherheitsproblemen lauert. Wie reagieren Sie als Browser-Entwickler auf ein solches Problem, das sich auf Hardware auf sehr niedrigem Niveau auswirkt?

Dave Camp : Das erste, was wir tun, ist, wenn wir diese Dinge hören, herauszufinden, was wir tun können, um das Problem schnell zu lösen. Als wir zum Beispiel zum ersten Mal von Meltdown und Spectre erfuhren, konnten wir am schnellsten nur die Auflösung unserer Timer ändern, sodass es für Angreifer schwieriger war, dies auszunutzen.

Browser sind in einer einzigartigen Position. Wir müssen die erste Verteidigungslinie sein.

Dann arbeiten wir mit anderen Browser-Anbietern zusammen, finden Korrekturen, tun unser Bestes, um dies zu umgehen, und wir ermutigen Benutzer, ein Upgrade durchzuführen - obwohl dies mit Spectre nicht immer möglich ist. Wir bemühen uns, mit Sicherheitsforschern und anderen Browser-Anbietern zusammenzuarbeiten, um Korrekturen zu finden und diese schnell einzuführen.

Browser sind in einer einzigartigen Position, da es unsere Aufgabe ist, nicht vertrauenswürdigen Code auf Ihrem Computer auszuführen. Und so müssen wir oft die erste Verteidigungslinie sein. Selbst wenn es in der Verantwortung des Hardwareanbieters liegt, haben wir gegenüber unseren Benutzern die Verantwortung, alles zu tun, um diese Angriffe abzuwehren.

Heute hat Mozillas Firefox ein neues Facebook Container-Add-On gestartet, um das Tracking von sozialen Medien zu verhindern, was ich für eine interessante Entwicklung hielt. Wie funktioniert ein solches Add-On aus technischer Sicht?

Firefox hatte eine Zeit lang eine Funktion in unserer Engine, die Firefox-Container genannt wurde. Die Container isolieren beispielsweise Cookies und Sitzungen auf einer bestimmten Registerkarte auf einer bestimmten Site. Wenn Sie also einen Facebook-Container installieren, wird sichergestellt, dass bei jedem Besuch von Facebook.com neue Sitzungen und neue Cookies eingerichtet werden.

Diese Cookies werden nicht mit anderen Registerkarten geteilt. Nehmen wir also an, Sie navigieren von Facebook zu Food.com. Wenn Food.com ein Facebook plus einen Button lädt, sieht Facebook diesen Cookie normalerweise, kann ihn mit Ihrem Login auf Facebook verknüpfen und Sie auf diese Weise verfolgen. Da dieser Container dies nur auf Facebook.com beschränkt, wird bei einem Besuch von Food.com und einem Plus-Eins-Button auf Facebook nicht angezeigt, dass Sie angemeldet sind. Es wird versucht, separate Anwendungen getrennt zu halten, damit sie getrennt bleiben kann sich nicht sehen und verhindert, dass Facebook Informationen von dieser Website erhält. 

Ist der Container-Feature-Kern von Firefox oder etwas, das nur durch dieses Add-On aktiviert wird?

Der Browser verfügt über diese Funktionalität, die Benutzern nicht zugänglich ist. Wir haben verschiedene Möglichkeiten ausprobiert, um es aufzudecken. Mit einem weiteren Add-On, das nur als Firefox-Container bezeichnet wird, können Sie all dies konfigurieren und herausfinden, wie Sie Ihre Container einrichten möchten.

Facebook ist momentan ein besonderer Punkt von Interesse

Facebook ist momentan ein besonderer Punkt von Interesse. Deshalb haben wir dieses Add-On erstellt und an Facebook angepasst, damit Benutzer wissen, wie sie damit interagieren können.

Das Add-On für Kerncontainer, das wir bereits veröffentlicht haben, ist ziemlich fortgeschritten und erfordert ein Verständnis dafür, was Sie tun möchten. Deshalb haben wir gerade dieses veröffentlicht, das für Facebook einfach ist.

Anmerkung des Herausgebers: Firefox hat uns auf einen Blog-Beitrag verwiesen, in dem die Funktion ausführlich erläutert wird.

Wie passt Quantum in Ihre Bemühungen? Auf Leistungsniveau wurde es für eine bessere Nutzung mehrerer Kerne entwickelt - aber was bedeutet es für Sicherheit und Datenschutz?

Firefox Quantum war wirklich ein Ausdruck dieses Umdenkens, wie wir den Browser erstellen und wie wir auf die Leistung achten. Wir verwenden das Quantum-Projekt normalerweise nicht als Version von Sicherheitsfunktionen, haben jedoch eine Sicherheits-Roadmap, die neben dem Quantum-Projekt ausgeführt wird.

Das Hauptstück, das wir dort haben, ist das Sandboxing von Inhaltsprozessen. Wir arbeiten mit dem Betriebssystem zusammen, um zu sagen, dass dies nicht vertrauenswürdig ist, damit das Betriebssystem versuchen kann, zu verhindern, dass der Browser das System gefährdet. Es ist eine zusätzliche Sicherheitsebene für die Sicherheit, die wir im Browser versuchen.

Während wir unser Sicherheitsprogramm im nächsten Jahr durcharbeiten, arbeiten wir daran, unsere Sandbox zu straffen, um mehr Möglichkeiten zu finden, wie das Betriebssystem uns dabei helfen kann, sicher zu sein.

Was ist Ihrer Meinung nach das nächste große Sicherheitsproblem, mit dem sich Browserentwickler als Community befassen sollten?

Ich denke, alle Browser müssen viel Zeit damit verbringen, die Spectre-Schwachstellen zu verstehen. Das wird viel Arbeit kosten und wir verbringen viel Zeit damit, zu verstehen, wie es funktioniert und welche Auswirkungen es hat.

Dieses Interview wurde aus Gründen der Übersichtlichkeit bearbeitet und komprimiert.