Mozilla har i lengre tid jobbet med å implementere ny funksjonalitet i Firefox som etter planen skal stoppe «cross site scripting»-angrep (XSS).
Slike angrep utnytter hull i webapplikasjoner og legger igjen ondsinnet kode på ellers legitime nettsteder. Nettstedet infiserer deretter intetanende besøkende med kode som ligger lagret på en fremmed server, ved hjelp av skript eller gjennom en iframe.
Teknologien som stiftelsen utvikler for å stoppe problemet er kjent som Content Security Policy (CSP).
_logo.svg.png){kind=logo}
Denne uken la Mozilla ut en prøveversjon av Firefox som implementerer deler av rammeverket.
- Vi oppfordrer webmastere og sikkerhetsforskere som er interessert i prosjektet å laste ned en forhåndsutgave av Firefox og hjelpe oss med å prøve ut de nye funksjonene, skriver Brandon Sterne, sjef for Mozillas sikkerhetsprogram i et blogginnlegg.
Sterne peker til et demo-nettsted der du selv kan teste ut om nettleseren din støtter CSP.
Det understrekes at det fortsatt er en god del som gjenstår før teknologien er helt implementert. Forhåndsversjoner av Firefox er dessuten kun for spesielt interesserte og på ingen måte ment til vanlig bruk.
En vesentlig del av teknologien består i beskyttelse gjennom hvitelister. Det skal sikre at det kun lastes ned innhold fra legitime servere. Innhold fra fremmede servere som ikke er definert vil dermed bli blokkert.
CSP er et resultat av et samarbeid hvor Mozilla har mottatt tilbakemeldinger fra en rekke nettsteder, nettleserleverandører og eksperter for webapplikasjonssikkerhet.
Ideelt burde løsningen på problemet være å lage webapplikasjoner uten sårbarheter, heter det i CSP-spesifikasjonen. Omfanget av ondsinnet kode som spres via XSS viser imidlertid at det er en ønskedrøm. Dermed ønsker Mozilla å bygge beskyttelse inn i nettleseren som beskytter mot skjødesløse kodefeil.
Les også:
- [24.06.2009] Ny teknikk skal stoppe utbredt webfare
- [19.06.2009] Nytt angrep har smittet 40.000 nettsteder
- [04.06.2009] 50 norske nettsteder sprer «Gumblar»
- [14.04.2009] Ormangrep mot Twitter
- [13.01.2009] 25 feil som ethvert program må unngå
- [19.09.2008] 316 norske nettsteder hacket siste måned
