Организация Mozilla представила тестовую альфа-версию браузера Firefox 3.7, снабженного новой технологией защиты от веб-атак.
Фреймворк Content Security Policy (CSP) защищает от межсайтового скриптинга (XSS). Кроме того, поддерживающие CSP браузеры предусматривают наличие защиты от клик-джекинга и мониторинга пакетов.
Спецификация CSP описывает структуру нового HTTP-заголовка, в котором веб-мастер указывает, какие из сценариев разрешены для выполнения в рамках домена и к каким внешним ресурсам может обращаться код веб-страницы в случае необходимости вставки элементов (к примеру, баннеров или новостных блоков).
Ознакомиться с возможностями технологии CSP можно на специальной демонстрационной странице, предлагающей 11 примеров атак.
Схема XSS. Злоумышленник посылает жертве (1) ссылку на содержащий вредоносный код сайт (2), заходя на который через браузер (3), пользователь запускает сценарий (4), открывающий хакеру доступ к компьютеру (5).
По словам менеджера программы безопасности Mozilla Брэндона Стерна (Brandon Sterne), реализация CSP очень похожа на технологию защиты, предлагаемую в рамках расширения NoScript.
Этот плагин блокирует выполнение кода JavaScript, Java и Flash, так как злоумышленники нередко прибегают к этим технологиям. Основное отличие в том, что CSP позволяет определить самостоятельную политику поведения веб-ресурса.
Mozilla приглашает веб-разработчиков и специалистов в области безопасности к обстоятельному тестированию новой технологии.
Источник www.computerra.ru