Firefox z CSP chroni przed atakami

Deweloperska wersja Firefoksa wyposażona została w technologię, która ma chronić przed atakami przeprowadzanymi z poziomu serwisów online. Mechanizm niestety nie pojawi się w nadchodzącym wydaniu 3.6 przeglądarki Mozilli.

Technologia Content Security Policy (CSP) umożliwi twórcom stron i aplikacji decydowanie, które treści zamieszczane online są uprawnione do wyświetlania w przeglądarce. Dzięki CSP możliwe jest blokowanie skryptów i złośliwego oprogramowania, dodawanego przez hakerów do stron lub aplikacji. Ataki tego rodzaju określane są jako typu XSS (Cross-Site Scripting).

"To nie jest rozwiązanie obliczone na blokowanie jednego rodzaju ataku" - przekonuje Johnathan Nightingale z Mozilli. "Dzięki technologii można rozszyfrować Cross-Site Scripting, choć to nie wszystko. Teraz mamy sposób dynamicznego wyłączania treści, które chcemy wyłączyć, tak więc nie ma już znaczenia, co zostanie dodane do strony".

"Rozwiązanie przypomina trochę NoScripta" - dodaje Brandon Sterne z Mozilli, odnosząc się do popularnego rozszerzenia Firefoksa, blokującego JavaScript, Javę, Flasha i inne rozszerzenia wykorzystywane przez hakerów. "Główna różnica polega na tym, że to sama strona określa, co może być wyświetlane. NoScript jest rewelacyjnym narzędziem, jednak większość użytkowników nie jest wystarczająco zaawansowana technicznie, by podejmować decyzje tego rodzaju".

Przekonać twórców stron

Nightingale i Sterne zdają sobie sprawę, że z Firefoksa korzysta zaledwie jedna czwarta internautów. Czeka ich więc trudne zadanie przekonania twórców stron i aplikacji, że nowa technologia warta jest ich uwagi. Mają jednak nadzieję, że producenci innych przeglądarek podążą ich śladem. "Zarówno zespoły tworzące Internet Explorera, jak i Chrome’a mają swój wkład w dyskusjach nad specyfikacją CSP" - powiedział Sterne.

Nie tylko Mozilla podjęła próbę ochrony swoich użytkowników przed atakami typu XSS. Wcześniej Microsoft wyposażył Internet Explorera 8 w filtr chroniący przed Cross-Site Scriptingiem.

Testową wersję przeglądarki z technologią CSP, kompatybilną z systemami Windows, Windows Mobile, Mac OS i Linux, można pobrać z serwera Mozilli. Udostępniono także stronę, demonstrującą możliwości Content Security Policy.


Zobacz również