Firefox přidá technologii proti webovým útokům

Ve verzi preview Firefoxu určené vývojářům je podle Mozilly obsažena technologie Content Security Policy, která by měla chránit uživatele před většinou webových útoků XSS i clickjacking.


Tato technologie má za cíl blokovat kódy přidané útočníky do kompromitovaných serverů; ačkoliv jejich povaha může být různá, nejčastěji se shrnují pod označení cross-site scripting (XSS).

Jeden z manažerů vývojového týmu Firefoxu Johnathan Nightingale uvedl, že se jedná o komplexní technologii, protože velmi různorodé jsou i metody útoků XSS. V zásadě by mělo jít o to, že z určitého webu nebude možné spouštět obsah z jiného webu, pokud tato možnost není označena příslušnou hlavičkou. Z toho se zdá, že Content Security Policy (v CSP) nebude fungovat zcela automaticky, ale podpora bude muset být implementována i na straně správce webu, respektive provozovatele webové aplikace (reklamní systém apod.).

Uživatelé Firefoxu se už nyní mohou zabezpečit pomocí doplňku NoScript, který zakazuje např. Javu, JavaScript a Flash. Problém je, že bez toho mnohé aplikace dnes nefungují, nebo alespoň fungují nepohodlně. V CSP nepůjde o plošné blokování, ale o nastavení zásad (poznámka: snad nějak ve stylu, že správce webu určí, že na jeho webu se nepoužívá Java ani Flash a JavaScript pouze s těmi a těmi atributy; a nic jiného spustit nepůjde, u Javy a Flashe bude jasné, že kód je injektovaný).

Kromě XSS by tato technologie měla podle Mozilly chránit také před útoky typu clickjacking.

Problémem zůstává, zda ale správci webů a vývojáři aplikací budou CSP implementovat – vyplatí se jim taková práce, pokud na druhé straně bude tuto ochranu podporovat Firefox jako jediný prohlížeč? Microsoft i Google vyjádřili tomuto projektu podporu, ale bez nějakých konkrétnějších příslibů (eventuálně konkrétního časového rámce). Microsoft navíc už do Internet Exploreru 8 přidal svoji vlastní technologii, která by měla zablokovat většinu útoků typu cross-site scripting.

Jasné zatím není ani to, kdy zavede do běžně distribuovaného prohlížeče podporu pro CSP samotná Mozilla. Pro americký Computerworld zástupci společnosti pouze uvedli, že ve Firefoxu 3.6, který by se měl objevit v listopadu, to ještě nebude.

 











Komentáře