markasblog

Mozilla udostępniła do testów wersję przeglądarki Firefox wyposażoną w mechanizm CSP (Content Security Policy), dzięki któremu będzie możliwe zminimalizowanie ataków typu XSS (cross-site scripting). Ataki typu XSS polegają na osadzeniu w treści atakowanej strony kodu, który może doprowadzić do jego wykonania przez użytkownika, któremu ten kod zostanie wyświetlony. Więcej informacji na temat XSS można przeczytać na Wikipedii.

Mozilla wprowadzając mechanizm CSP do swojej przeglądarki zwiększyła kontrolę nad aplikacjami internetowymi, które w swojej funkcjonalności umożliwiają użytkownikom pobieranie i umieszczanie na serwerach potencjalnie niebezpiecznego kodu Jaca Script. CSP będzie opierał się na zasadzie listy, na której znajdą się domeny uważane za bezpieczne. W skrócie wyglądałoby to tak, że skrypty wykonywane byłyby tylko wtedy, gdyby pochodziły z „białej listy” domen. Jeżeli skrypt pochodziłby z domeny nie znajdującej się na liście bezpiecznych domen, wówczas taki skrypt nie byłby uruchomiony. O liście bezpiecznych domen przeglądarka zostanie poinformowana za pośrednictwem specjalnego nagłówka dodanego do kodu strony – X-Content-Security-Policy.

Więcej na temat mechanizmu CSP można przeczytać tutaj (strona w języku angielskim).

Podobne wpisy

1. Adobe Flash Player po raz kolejny podatny na ataki
2. Chrome już odporny na lukę w Flash Player
3. Jest nowy Firefox, ale bez zapowiadanych zmian…
4. Firefox 3.0.11 – poprawione bezpieczeństwo i stabilność
5. Firefox uboższy o 62 błędy i stabilniejszy