聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
Mozilla公司的工程师正在为火狐浏览器着手准备一个通知系统,它将向访问曾遭受数据泄露事件站点的用户发出安全警告信息,告警他们自己的凭证可能在某个数据泄露事件中遭攻陷。
这个通知系统将会使用由Have I Been Pwned? 网站提供的数据。该网站列出公开的数据泄露事件并供用户搜索并查看自己的详情是否遭攻陷。
该功能目前以扩展形式存在
工程师们最近才开始启动这个安全警告项目。显示这些警告信息的代码甚至并不存在于火狐的代码基中,不过是以单独的扩展(名称为“Breach Alert”)形式出现。
扩展代码已发布在GitHub上,任何人可进行编译并将其导入火狐浏览器中。不过目前仅支持火狐开发者版本。
这个扩展尚处于起步阶段,警告信息还略显粗糙。目前,当用户访问的网站被收录在Have I Been Pwned网站上的公开数据泄露列表时才会触发。
这个告警信息还包含一个输入字段。在当前的扩展版本中,这个字段不会做出任何动作,不过推测可能能让用户搜索并查看自己的凭证是否在站点遭泄露时也遭暴露。
这个新的通知系统肯定会干扰某些被攻陷企业的功能。Have I Been Pwned网站上提供此类已尘封在互联网的某个角落的详情是一回事,而站点此前被黑的历史被暴露到访客的面前尤其是在这些事件已过去多年之后再次提及又是另一回事。
各方努力寻找展示通知的最佳方式
Have I BeenPwned网站的一名澳大利亚安全研究员指出,正在跟Mozilla公司查看不同的运行模型,目前的重点是计划在浏览器内直接显示数据遭泄露的数据。
可以肯定的一点是,Mozilla需要密切关注向用户展示通知时的语言和方式。最佳方式可能是少关注安全事件本身,多加鼓励用户更改被攻陷账户的凭证。
目前Mozilla公司的工程师尚未就该扩展做出其它更多评论。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/firefox-will-warn-users-when-visiting-sites-that-suffered-a-data-breach/