Gli strumenti sono un protocol-fuzzer ed Javascript-fuzzer: tramite essi sarà possibile simulare l’utilizzo del browser nelle condizioni più comuni ed in quelle più disparate, aiutando così gli sviluppatori nella ricerca e nella successiva correzione dei problemi di sicurezza.

di Andrea de Palo, via OssBlog

Peccato non avesse tenuto conto dell’opinione degli altri ( e più importanti dirigenti ) della Corporation, che hanno prontamente rettificato le opinioni di Schaver: “Mozilla non fissa le politiche di sicurezza durante pigiama party notturni” è l’incipit della risposta di Window Snyder ( Security Chief presso Mozilla ), nella quale viene chiarito che la sicurezza non è un gioco e che Mozilla non è interessata a gare od ultimatum.

di Andrea de Palo, via OssBlog.it

Dall’estratto della sessione: "I vendor tradizionali di software hanno poco interesse nella condivisione dei dettagli più crudi riguardo ciò che è necessario fare per proteggere un vasto progetto software … Mozilla sta utilizzando apertura e trasparenza per meglio proteggere i propri prodotti ed aiutare gli altri progetti software a fare lo stesso. Mozilla ha creato alcuni strumenti, o collaborato alla loro realizzazione, con lo scopo di blindare il browser Firefox ed il client di posta Thunderbird, il primo di questi tool sarà rilasciato al Blackhat Las Vegas 2007 … Questi strumenti … possono essere utili a chiunque stia sviluppando o testando applicazioni che implementano queste tecnologie".

In una intervista rilasciata a internetnews.com a Marzo, Snyder aveva evidenziato che Mozilla stava già utilizzando quest’intera gamma di strumenti e tecniche di sicurezza sui suoi prodotti. Snyder aveva anche anticipato che in futuro non si poteva escludere la creazione di un progetto open-source targato Mozilla basato proprio su strumenti e informazioni relativi alla sicurezza.

In attesa del Black Hat, internetnews.com si è rivolto agli altri vendor del settore per ottenere da loro eventuali informazioni sul software fuzzer utilizzato da Mozilla. Opera Software ha affermato che Mozilla ha già inviato questo software di testing a due suoi sviluppatori, e che il team responsabile lo sta attualmente testando con differenti prodotti. Un portavoce di Google ha affermato che il colosso della ricerca non è a conoscenza di questo software. Google ha recentemente svelato un suo progetto fuzzer, chiamato Lemon, un prodotto che tuttavia non sarà rilasciato pubblicamente. Google ha affermato che, non conoscendo il software di Mozilla, in questo momento non è possibile affermare se l’azienda valuterà di utilizzarlo in aggiunta a Google Lemon. Microsoft infine non ha risposto direttamente alla richiesta di internetnews.com, limitandosi ad affermare che il fuzzing è una parte importante dell’intero processo di sviluppo della sicurezza, e che l’azienda tende a supportare gli altri vendor che adottano simili metodi per aiutare a proteggere i propri utenti.

Tuttavia, secondo Christen Krogh, Vice President dell’engineering di Opera, sussistono alcune preoccupazioni sulle modalità in cui il fuzzer di Mozilla possa venire utilizzato in-the-wild. Krogh ha affermato: "Qualsiasi strumento reso pubblico, che aiuta a trovare modi di eseguire l’exploit di un certo software, rischia di essere utilizzato in maniera impropria… Quando un’organizzazione pubblicata questi strumenti, deve valutare se il tool può risultare in un disservizio per milioni di innocenti". Secondo Jacob West, un ricercatore di sicurezza dell’azienda Fortify, il fuzzing è ad ogni modo una tecnica che dovrebbe essere adottata dalla maggior parte dei software vendor. Questo strumento è infatti popolare proprio perchè funziona bene per trovare errori più grossolani e nello tesso tempo è facile da utilizzare. Secondo West, Mozilla potrebbe rendere questo tipo di software ancora migliore e, rilasciando un strumento leggero su vasta scala, regalare benefici all’intero settore dello sviluppo software.

Fonte: Tweakness.net