Firefox z CSP chroni przed atakami

Subskrybuj RSS A A A
05 października 2009 15:47
Piotr Perka

TAGI: Mozilla Firefox bezpieczeństwo

Deweloperska wersja Firefoksa wyposażona została w technologię, która ma chronić przed atakami przeprowadzanymi z poziomu serwisów online. Mechanizm niestety nie pojawi się w nadchodzącym wydaniu 3.6 przeglądarki Mozilli.

Technologia Content Security Policy (CSP) umożliwi twórcom stron i aplikacji decydowanie, które treści zamieszczane online są uprawnione do wyświetlania w przeglądarce. Dzięki CSP możliwe jest blokowanie skryptów i złośliwego oprogramowania, dodawanego przez hakerów do stron lub aplikacji. Ataki tego rodzaju określane są jako typu XSS (Cross-Site Scripting).

"To nie jest rozwiązanie obliczone na blokowanie jednego rodzaju ataku" - przekonuje Johnathan Nightingale z Mozilli. "Dzięki technologii można rozszyfrować Cross-Site Scripting, choć to nie wszystko. Teraz mamy sposób dynamicznego wyłączania treści, które chcemy wyłączyć, tak więc nie ma już znaczenia, co zostanie dodane do strony".

"Rozwiązanie przypomina trochę NoScripta" - dodaje Brandon Sterne z Mozilli, odnosząc się do popularnego rozszerzenia Firefoksa, blokującego JavaScript, Javę, Flasha i inne rozszerzenia wykorzystywane przez hakerów. "Główna różnica polega na tym, że to sama strona określa, co może być wyświetlane. NoScript jest rewelacyjnym narzędziem, jednak większość użytkowników nie jest wystarczająco zaawansowana technicznie, by podejmować decyzje tego rodzaju".

Przekonać twórców stron

Nightingale i Sterne zdają sobie sprawę, że z Firefoksa korzysta zaledwie jedna czwarta internautów. Czeka ich więc trudne zadanie przekonania twórców stron i aplikacji, że nowa technologia warta jest ich uwagi. Mają jednak nadzieję, że producenci innych przeglądarek podążą ich śladem. "Zarówno zespoły tworzące Internet Explorera, jak i Chrome’a mają swój wkład w dyskusjach nad specyfikacją CSP" - powiedział Sterne.

Nie tylko Mozilla podjęła próbę ochrony swoich użytkowników przed atakami typu XSS. Wcześniej Microsoft wyposażył Internet Explorera 8 w filtr chroniący przed Cross-Site Scriptingiem.

Testową wersję przeglądarki z technologią CSP, kompatybilną z systemami Windows, Windows Mobile, Mac OS i Linux, można pobrać z serwera Mozilli. Udostępniono także stronę, demonstrującą możliwości Content Security Policy.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 5 liczba ocen: 1
Podziel się |

Komentarze (4)

+Dodaj komentarz

Jinni

06-10-2009 12:56
odpowiedz zmoderuj

@Gośc odpisz prosze

Paweł Krawczyk

06-10-2009 11:59
odpowiedz zmoderuj

CSP jest także dostępne jako add-on do Firefoksa w wersjach 1.5-3.0 (nie działa z 3.5). https://addons.mozilla.org/en-US/firefox/addon/7478

Jinni

06-10-2009 11:00
odpowiedz zmoderuj

@Gosc prosze podaj nazwe jakiejs dobrej przglądarki

Gość

05-10-2009 21:37
odpowiedz zmoderuj

FF robi postępy ale i tak zaczyna zostawać w tyle? Stosowanie starych technologii do rozrośniętego kodu daje się we znaki w kolejnych obszarach. Proces jest nieuchronny, bez względu na poziom niedowierzania czy prześmiewczych krzyków.


Najpopularniejsze

Najnowsze

MAC, czyli ministerstwo reformowania rządzenia

MAC, czyli ministerstwo reformowania rządzenia
Premier wspiera lojalnie w kryzysie najbliższego współpracownika, Michała Boniego, przyjmując na siebie atak oburzonych internautów podczas debaty o ACTA.

Nowe, unijne zamówienia publiczne

Nowe, unijne zamówienia publiczne
Komisja Europejska proponuje ważne zmiany prawa wspólnotowego w obszarze zamówień publicznych. Warto im się przyjrzeć bo to jeden z elementów nowej perspektywy finansowej UE. Warto zatem przyjrzeć się owej propozycji bliżej.

Bezpieczeństwo rządowych stron - analiza

Bezpieczeństwo rządowych stron - analiza
Zespół zadaniowy ds. ochrony portali rządowych opublikował wytyczne. Trudno stwierdzić, że to najlepsze rekomendacje, jakie można było przy okazji zaistniałych ataków wypracować.

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?
Skuteczny atak cybernetyczny przyniesie opłakane skutki dla państwa i gospodarki. Boleśnie się o tym przekonaliśmy, gdy nie można było dostać się na strony internetowe najważniejszych instytucji w Polsce.

Czy MSW chce unieważnienia przetargu na pl.ID?

Czy MSW chce unieważnienia przetargu na pl.ID?
Rośnie ryzyko całkowitego unieważnienia przetargu na nowe dowody osobiste. Krajowa Izba Odwoławcza odrzuciła odwołanie firmy Sygnity, która nie zgadzała się na wydłużenie o trzy miesiące terminu składania ofert na dostawę blankietów nowych dowodów osobistych. Wydłużenie całego postępowania o trzy miesiące może spowodować skargi uczestniczących w nim firm, a w konsekwencji unieważnienie przetargu.

Garść rad dla roztropnego szefa IT

Garść rad dla roztropnego szefa IT
Trudne czasy w gospodarce to okres, kiedy szczególnego znaczenia nabiera hasło: Jak cię widza, tak cię piszą. Osłabienie rynku przekłada się na oszczędności w przedsiębiorstwie, a oszczędności najłatwiej szukać w działach, które, w opinii zarządu, nie są bezpośrednio związane z prowadzoną działalnością - czyli również w dziale IT.

Sprzeczne wizje e-dowodu

Sprzeczne wizje e-dowodu
Koncepcja elektronicznego dowodu osobistego powstała w Polsce wiele lat temu. Starsze są koncepcje elektronicznego systemu świadczeń ochrony zdrowia. Mimo to, nadal są w trakcie budowy.

Rekomendacje


Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88