Ny teknikk skal stoppe utbredt webfare

Mozilla tar initiativ for å stoppe «cross-site scripting» en gang for alle.

Mozilla har i et års tid jobbet med en ny teknikk som etter planen skal kunne stoppe Cross-Site Scripting-angrep (XSS). Dette innebærer at angriperen på ulike måter greier å legge igjen kode på legitime nettsteder. Denne koden laster så ned skadelig kode fra en ekstern server, stort sett i form av en skriptfil eller via en iframe.

Angrepbølgene som har blitt kalt Gumblar og Nine-Ball, er eksempler på dette.

Mozillas Content Security Policy (CSP), som er beskrevet i detalj her, men som ennå ikke er ferdig utviklet, fungerer etter et ganske enkelt prinsipp, som gjør det mulig for nettsteder å beskytte sine brukere mot XSS-angrep på dette nettstedet. Det krever dog at nettstedet gjør visse endringer på alle sine websider, samt at brukerne benytter en nettleser som støtter CSP. Foreløpig er det ingen nettlesere som har støtte for dette.

Ifølge Brandon Sterne, sjef for Mozillas sikkerhetsprogram, er CSP et resultat av et samarbeid hvor Mozilla har mottatt tilbakemeldinger fra en rekke nettsteder, nettleserleverandører og eksperter for webapplikasjonssikkerhet.

Nettsteder som ønsker å ta i bruk CSP, må for hver webside som tilbys, også levere en hvitliste som skal sikre at det kun lastes ned innhold fra legitime servere. Listen, som tilbys via HTTP-headere eller meta-tagger på hver enkelt webside, kan inneholde et sett med direktiver som dekker ulike typer innhold. Dette inkluderer blant annet bilder, mediefiler for lyd og video, stilsett (CSS), objekter og rammer (frames). Det er også mulig å legge direktivene i en separat fil som lastes fra samme server som det dokumentet brukeren ønsker å åpne.

Nettstedadministratoren oppgir i hvitlistedirektivene hvilke servere som det tillates at innhold at en gitt type lastes ned fra. På denne måten vil innhold som stammer fra andre servere enn de på listen, bli blokkert.

For best mulig sikkerhet er det også mulig å blokkere skriptkode som er inkludert i selve (X)HTML-dokumentet. Men dette er standardvalget, men tillates valgt bort, siden det kan bety temmelig mye merarbeid for mange nettsteder. For i utgangspunktet må all skriptkode flyttes ut å separate filer.

Det vil også være mulig for nettsteder å implementere CSP i faser, hvor man starter med enkelte typer innhold, mens man tillater fri flyt av annen type innhold. I noen tilfeller vil dette også være nødvendig på lang sikt.

Mozilla oppgir ikke noen tidsplan for når CSP vil bli tilgjengelig i stiftelsens produkter. Skal ordningen en suksess, må den støttes av mange nettsteder, men også av nettlesere fra andre leverandører, ikke minst Microsoft. Derfor er det viktig at Mozilla sørger for at også disse aktørene oppfordres til både å støtte og bidra til løsningen.

Får man en situasjon hvor hver nettleserleverandør kommer med sin egen løsning, ender man trolig opp med at ingen av dem får særlig støtte fra nettstedene.

    Les også:

Til toppen