你会选择用“围墙花园”之法来保护Web浏览器吗？

虽然“围墙花园”（walled garden）可以帮助保护Web浏览器，但并非所有人都认为这是个好用的功能。

在新推出的Firefox中Mozilla中包含“围墙花园”。围墙花园如何保护Web浏览器？为什么围墙花园并不被视为是好方法？

Michael Cobb：为了提高浏览器的普及度以及加强用户忠诚度，供应商通常采用的一种方法是鼓励独立开发人员创建加载项、插件及其他扩展来提供额外的功能，并允许用户自定义其浏览器，以让浏览器以最适合他们的方式来运行。但这种做法的不足之处是，糟糕编写的插件会影响浏览器以及系统的稳定性，而恶意插件会让个人信息面临风险。

Mozilla插件平台向来对开发人员非常开放。开发人员不仅能够以激进和创新的方式来更改Firefox，他们还可完全自由地从其自己的网站分发其附加组件，而不一定要通过AMO—Mozilla附加组件网站资料库。这给真正的开发人员提供了巨大的灵活性，但也让恶意攻击者可以利用Firefox用户。例如，现在有些恶意扩展已经很普遍，它们可在未经用户同意的情况下更改主页和搜索设置，还可以注入广告到网页或甚至注入恶意脚本到社交媒体网站。

Mozilla已经尝试执行插件指导准则，插件创建者必须遵守这些准则，远程禁用不兼容的扩展。大多数违反这些准则的扩展都是通过在AMO之外来分发，而追踪这些扩展几乎不太可能，所以Mozilla决定需要改变Firefox插件开发以提高安全性和性能。

当Firefox 39版本在今年晚些时候发布时，Mozilla将要求所有插件经过AMO审查和代码签名，即使是在Mozilla的AMO外自托管的插件。虽然开发人员不会被迫只可通过AMO分发其扩展，但他们必须提交其插件进行审查，并获得签名。在过渡期结束后，用户将无法在Firefox正式版或测试版中安装未签名的扩展，并且，不会有任何偏好或命令行选项来禁用此配置。目前该公司还没有透露那些将不会被公开分发的插件（例如为内部使用而开发的插件）将如何处理。

在软件开发过程中，功能与安全的平衡一直是难题，对于浏览器尤其是如此，毕竟浏览器是访问互联网以及访问未知和不受信任来源内容的最常用界面。Firefox插件执行时可完全控制浏览器，与Chrome和Safari不同，没有任何障碍阻止它们彼此隔离或与浏览器隔离；这是让开发人员实现强大水平定制化和附加功能的原因—既是优点也是缺点。新的审查过程可能会在一定程度上提高安全性，但这在很大程度上依赖于自动化和人类审查者找到可能隐藏的攻击向量，鉴于提交的数量以及现代恶意软件的复杂性，这将是艰巨的任务。

很多Firefox粉丝对这些拟议的改变很失望，因为他们将无法允许安装未签名的扩展，即使用户理解这其中的风险。通过迫使开发人员经过漫长的审查程序以让其扩展获得批准或发布重要安全更新，Mozilla可能面临失去开发人员青睐的风险，如果他们不能及时修复漏洞，也可能降低扩展的安全性。

Firefox可用插件的数量是其最大的优势之一，而现在开发人员需要通过额外的步骤来让其插件可用，这可能会减少愿意支持Firefox的开发人员的数量。这个所谓的围墙花园可能帮助保护用户抵御恶意插件，但它也有缺点，浏览器供应商需要在确保插件生态系统继续蓬勃发展与保持用户安全之间做好平衡。

——Michael Cobb是认证信息系统安全架构专家（CISSP-ISSAP），知名的安全作家，具有十多年丰富的IT行业经验，并且还从事过十六年的金融行业。他是Cobweb Applications公司的创始人兼常务董事，该公司主要提供IT培训，以及数据安全和分析的支持。Michael还合著过IIS Security一书，并为领先的IT出版物撰写过无数科技文章。此外，Michael还是微软认证数据库系统管理员和微软认证专家。