สักสองสามปีก่อน lead developer ของ Firefox กล่าววาทะเด็ดเอาไว้ว่า "Firefox ‘as safe as a condom’" ประมาณว่า ปลอดภัยเหมือนสวมใส่ถุงยาง ยืดอกพกถุง ทำนองนั้น ช่วงนั้นก็ออกโปสเตอร์เหน็บ "มีชัยไฟร์ฟอกซ์" ในกระเป๋า

ที่ว่าปลอดภัยในขณะนั้นเพราะ Mozilla ปฏิเสธเทคโนโลยี ActiveX ซึ่งทำให้เกิดช่องโหว่และปัญหาความปลอดภัยใน  Internet Explorer (6) Firefox แก้ปัญหากันง่ายๆ แบบนี้แหละครับ เทคโนโลยี ActiveX เป็นที่แพร่หลายและใช้ทั่วไปในขณะนั้น และจนถึงตอนนี้ อันนี้เป็นก้าวแรกๆ ในการ Break the Web ส่วนเรื่องภาษาไทยที่เราๆ บ่นกัน เป็นมาตั้งแต่ครั้งบรรพบุรุษของ Mozilla โน่นแล้ว วันหลังจะเล่าให้ฟังครับ (ผมเล่น Mozilla Browser มาตั้งแต่เพิ่งออกตัวแรก Milestone 5 เมื่อ 5-6 ปีก่อน ในช่วงที่กำลังปั้นตุ๊กแก Gecko แรกๆ โน่นแหละครับ)

การปฏิเสธ ActiveX เพียงอย่างเดียวไม่ได้หมายความว่าจะปลอดภัยครับ ActiveX เป็นเพียงส่วนหนึ่งของปัญหา ช่วงแรกที่ Firefox ออกเวอร์ชั่นต้นๆ มีปัญหาความปลอดภัยให้ได้ยินอยู่เนืองๆ แต่ไม่บ่อยเท่า Internet Explorer 6

เมื่อซัก 10 วันก่อนหน้านี้มีการค้นพบช่องโหว่ของ Firefox ในส่วนของ Firefox JAR ถ้ารวมเข้ากับ 302 redirect error ใน Google ทำให้แฮคเกอร์สามารถเข้าถึงและแก้ไขบัญชีผู้ใช้ของกูเกิ้ล ทั้งข้อมูลส่วนตัว Gmail และอื่นๆ

ช่องโหว่ที่ว่าของ Firefox ถูกพบโดยเว็บไซต์ gnucitizen.org ซึ่งทำให้แฮคเกอร์สามารถเข้าถึง Google accounts ซึ่งรวมถึง Gmail โดยใช้ cross-site scripting attacks ซึ่ง client หรือ server-side exploit สามารถถูกแทรกลงในไฟล์ .zip ผ่าน open document formats อย่าง Microsoft Office 2007 และ OpenOffice แล้วถูกอัพโหลดไปไว้บนเซอร์ฟเวอร์ซึ่ง Firefox JAR protocol จะทำการแตกไฟล์บีบอัดดังกล่าว

ส่วน 302 redirect error ใน Google ถูกพบโดยเว็บไซต์ bedford.org โดยทดลองสร้าง domain-wide cross-site scripting attack ซึ่งทำให้แฮคเกอร์สามารถเเข้าถึงและแก้ไข Google user accounts ตัวอย่างและ proof of concept มีอยู่ในเว็บนั้นนะครับ แต่ทำไมผมเข้าไม่ได้ไม่รู้

ตอนนี้ Mozilla ยังไม่มีการชี้แจงหรือเคลื่อนไหวใด คราวที่แล้วช่องโหว่ที่เกิดจาก Apple Quicktime extension ใช้เวลาร่วมปีกว่าจะถูกแก้ไข ผู้ใช้ Firefox ควรระวังไว้บ้างเหมือนกันนะครับ ไม่มีเบราเซอร์ตัวไหนปลอดภัยร้อยเปอเซ็นต์ แต่ผมน่ะเสียไปแล้ว เมื่อคืนเพิ่งบอกน้องผึ้งไปหยกๆ ว่า Gmail account เจาะไม่ได้  ไม่น่าเลย - -"