<html><head></head><body>I've been thinking more about it.<br>
<br>
to really work, the frozen Gecko part must not display untrusted content nor process any network content.<br>
<br>
it's the last part that makes this idea fail. thunderbird does process network input, in IMAP, POP3, authentication protocols, MIME. all this would be subject to any security bugs discovered there.<br>
<br>
in the past, 90% of our bugs were in JavaScript processing during display of webpages. whole writing a security report for 2 different XULRunner apps recently, both not unlike thunderbird in their exposure, i found that there have been a large number of bugs that are outside this small scope and are still exploitable, if you disable untrusted webpage display in gecko.<br>
<br>
given that there are 2 critical bugs per weeks, not even counting high our lower ones, that means even if only 10% or 20% of the bugs are of this class (and it's not sure that the number is that low), we are still very much exposed and cannot just ignore these bugs, nor can wet treat them as one offs.<br>
<br>
the further we derive from Firefox trunk, the harder the merging will be.<br>
<br>
plus, we will not profit from new security enhancements that the Firefox team dies continuously. this is not to be underestimated, either.<br>
<br>
so, i really liked the idea, i would have liked it to work, but unfortunately, it's not a real solution.<br>
<br><br><div class="gmail_quote">Am 5. Februar 2018 03:09:20 MEZ schrieb Gervase Markham <gerv@mozilla.org>:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre class="k9mail">On 03/02/18 16:44, Ben Bucksch wrote:<br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #729fcf; padding-left: 1ex;"> that's a good idea actually, as last resort emergency measure. it'll be<br /> some effort, but should theoretically work.<br /></blockquote><br />To be clear, I'm proposing it as the actual plan, rather than as a "last<br />resort emergency measure". It won't be simple, and we would need to be<br />working towards it at the beginning.<br /><br />It also leaves open the possibility that, over time, as Servo's<br />capabilities increase, and as bits of Thunderbird get rewritten and<br />refactored, more and more bits might run on top of Servo rather than<br />Gecko. It may be that we decide that even if started, such a process<br />would never finish and therefore there's little point in starting.<br />(Because the value comes when it finishes, and Gecko could finally be<br />discarded.) But I just thought I'd flag it up.<br /><br />Where does Thunderbird render untrusted HTML content?<br /><br />* Mail messages<br />* News messages (or are these always plain text?)<br />* RSS feeds (still?)<br /><br />Anything else?<br /><br />Gerv<br /></pre></blockquote></div><br>
-- <br>
Sent from my phone. Please excuse the brevity.</body></html>