Nhịp sống số

Mozilla phản hồi về bài kiểm tra bảo mật trình duyệt của Microsoft

Mozilla phản hồi về bài kiểm tra bảo mật trình duyệt của Microsoft
id="post_message_11258655">

Hồi đầu tuần qua, Microsoft đã phát hành một trang web đánh giá tính năng bảo mật của 3 trình duyệt gồm IE, Chrome và Firefox. Website có tên yourbrowsermatters.org và tên miền .org thường được Microsoft sử dụng cho mục đích phi lợi nhuận. Dựa trên thang điểm từ 0 đến 4, kết quả đánh giá 3 trình duyệt cho thấy phiên bản IE9 đạt điểm tối đa (4 điểm), IE8 3 điểm, Chrome 2,5 điểm và Firefox chỉ có 2 điểm. Phản hồi với bài kiểm tra bảo mật trình duyệt, giám đốc bộ phận kĩ thuật của Firefox - Johnathan Nightingale đã chính thức lên tiếng:

Mozilla không mấy quan tâm đến bài kiểm tra, Nightingale nói: "Công ty chúng tôi luôn tự hào về những thành tích và vị thế dẫn đầu trong lĩnh vực bảo mật. Chúng tôi tin rằng để lướt web an toàn thì trình duyệt phải đủ mạnh để chống lại malware và các hình thức tấn công khai thác thông tin. Trình duyệt phải được trang bị các công nghệ mới để giúp bản thân trang web và người dùng bảo vệ chính mình, đồng thời bộ phận bảo mật của trình duyệt phải chịu trách nhiệm phát hành các bản cập nhật kịp thời và đáng tin cậy."

Thêm vào đó, Nightingale đã phản bác lại bài kiểm tra của Microsoft khi cho biết: "Bài kiểm tra này đã thất bại bởi nó còn thiếu sót," và anh chỉ ra 3 tiêu chuẩn còn thiếu bao gồm: HSTS, Do Not Track và thời gian phản hồi vá lỗi.

HSTS (HTTP Strict Transport Security) là một tiêu chuẩn đang chờ được phê duyệt. Nó cho phép máy chủ trang web "nói" cho trình duyệt biết trình duyệt chỉ có thể kết nối bằng một đường dẫn được mã hóa, chẳng hạn như HTTPS. Firefox và Chrome đều hỗ trợ HSTS nhưng IE của Microsoft lại không.

HSTS và các kết nối được mã hóa đã xuất hiện kể từ tháng 10 năm trước khi lập trình viên ứng dụng web Eric Butler đến từ Seattle giới thiệu một add-on trên Firefox có tên Firesheep trong khuôn khổ hội nghị bảo mật ToorCon. Add-on cho phép nhiều người dùng tìm một mạng WiFi và chiếm quyền truy cập vào Facebook, Twitter và một loạt dịch vụ trực tuyến khác.

Bên cạnh HSTS, Do Not Track là một thuật ngữ chuyên môn. Có thể hiểu, Do Not Track là một chiếc dù giúp người dùng tránh hoạt động theo dõi của các trang web và dịch vụ quảng cáo. Đây cũng là một điểm nóng về bảo mật được đề cập trong năm nay.

Firefox đã gia nhập "phe ủng hộ" Do Not Track vào tháng 1 với việc tích hợp một hệ thống truyền tin đặc biệt đối với mọi đường dẫn HTTP. Qua đó, trang web sẽ được chỉ thị không theo dõi người dùng. Tính năng này đã được trang bị kể từ phiên bản Firefox 4, phát hành hồi tháng 3. Cùng tháng, Microsoft đã tiếp nối Mozilla khi bổ sung tính năng Tracking Protection trên IE9.

Ngoài ra, tiêu chuẩn thứ 3 mà Nightingale đặt ra đối với bài kiểm tra là việc Microsoft khá chậm trễ trong việc đưa ra các bản vá lỗi. Mozilla cập nhật bản vá bảo mật cho Firefox sau mỗi 6 tuần trong khi Microsoft vá các lỗ hổng của IE 2 tháng 1 lần.

Google vẫn chưa đưa ra ý kiến phản hồi về bài kiểm tra của Microsoft đối với trình duyệt Chrome.