Firefox z CSP chroni przed atakami

Subskrybuj RSS A A A
05 października 2009 15:47
Piotr Perka

TAGI: Mozilla Firefox bezpieczeństwo

Deweloperska wersja Firefoksa wyposażona została w technologię, która ma chronić przed atakami przeprowadzanymi z poziomu serwisów online. Mechanizm niestety nie pojawi się w nadchodzącym wydaniu 3.6 przeglądarki Mozilli.

Technologia Content Security Policy (CSP) umożliwi twórcom stron i aplikacji decydowanie, które treści zamieszczane online są uprawnione do wyświetlania w przeglądarce. Dzięki CSP możliwe jest blokowanie skryptów i złośliwego oprogramowania, dodawanego przez hakerów do stron lub aplikacji. Ataki tego rodzaju określane są jako typu XSS (Cross-Site Scripting).

"To nie jest rozwiązanie obliczone na blokowanie jednego rodzaju ataku" - przekonuje Johnathan Nightingale z Mozilli. "Dzięki technologii można rozszyfrować Cross-Site Scripting, choć to nie wszystko. Teraz mamy sposób dynamicznego wyłączania treści, które chcemy wyłączyć, tak więc nie ma już znaczenia, co zostanie dodane do strony".

"Rozwiązanie przypomina trochę NoScripta" - dodaje Brandon Sterne z Mozilli, odnosząc się do popularnego rozszerzenia Firefoksa, blokującego JavaScript, Javę, Flasha i inne rozszerzenia wykorzystywane przez hakerów. "Główna różnica polega na tym, że to sama strona określa, co może być wyświetlane. NoScript jest rewelacyjnym narzędziem, jednak większość użytkowników nie jest wystarczająco zaawansowana technicznie, by podejmować decyzje tego rodzaju".

Przekonać twórców stron

Nightingale i Sterne zdają sobie sprawę, że z Firefoksa korzysta zaledwie jedna czwarta internautów. Czeka ich więc trudne zadanie przekonania twórców stron i aplikacji, że nowa technologia warta jest ich uwagi. Mają jednak nadzieję, że producenci innych przeglądarek podążą ich śladem. "Zarówno zespoły tworzące Internet Explorera, jak i Chrome’a mają swój wkład w dyskusjach nad specyfikacją CSP" - powiedział Sterne.

Nie tylko Mozilla podjęła próbę ochrony swoich użytkowników przed atakami typu XSS. Wcześniej Microsoft wyposażył Internet Explorera 8 w filtr chroniący przed Cross-Site Scriptingiem.

Testową wersję przeglądarki z technologią CSP, kompatybilną z systemami Windows, Windows Mobile, Mac OS i Linux, można pobrać z serwera Mozilli. Udostępniono także stronę, demonstrującą możliwości Content Security Policy.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 5 liczba ocen: 1
Podziel się |

Komentarze (4)

+Dodaj komentarz

Jinni

06-10-2009 12:56
odpowiedz zmoderuj

@Gośc odpisz prosze

Paweł Krawczyk

06-10-2009 11:59
odpowiedz zmoderuj

CSP jest także dostępne jako add-on do Firefoksa w wersjach 1.5-3.0 (nie działa z 3.5). https://addons.mozilla.org/en-US/firefox/addon/7478

Jinni

06-10-2009 11:00
odpowiedz zmoderuj

@Gosc prosze podaj nazwe jakiejs dobrej przglądarki

Gość

05-10-2009 21:37
odpowiedz zmoderuj

FF robi postępy ale i tak zaczyna zostawać w tyle? Stosowanie starych technologii do rozrośniętego kodu daje się we znaki w kolejnych obszarach. Proces jest nieuchronny, bez względu na poziom niedowierzania czy prześmiewczych krzyków.





Najpopularniejsze

Najnowsze

Ile kosztuje dowód osobisty

Ile kosztuje dowód osobisty
Rząd jako jeden z powodów anulowania przetargu na blankiety e-dowodu podaje brak środków. Sprawdziliśmy, ile kosztowałoby to podatników i jaka jest cena za dokumenty tożsamości na świecie.

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Rekomendacje




Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88