Разработчики Mozilla выпустили прототип Firefox с защитой от XSS и CSRF атак

Разработчики проекта Mozilla представили первый рабочий прототип Firefox с реализацией технологии CSP (Content Security Policy), направленной на интеграцию в web-браузеры средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы «IFRAME/JavaScript src» блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).

К работе по улучшению предварительной спецификации CSP приглашаются производители других web-браузеров, эксперты по безопасности и web-мастера. Для знакомства с возможностями технологии подготовлена специальная демонстрационная страница, на которой представлены 11 примеров атак, которым может противостоять CSP.

Спецификация CSP вводит в обиход новый HTTP-заголовок, при помощи которого web-мастер может явно задать какие из скриптов можно выполнять для заданного домена. Например, установка заголовка «X-Content-Security-Policy: allow ‘self'» разрешит только выполнение локальных JavaScript файлов, заблокирует выполнение JavaScript блоков, определенных непосредственно в HTML документе и не позволит выполнить операцию на внешнем сайте через img src ссылку в URI которой фигурируют переменные (например, «img src=http://www.test.ru/cgi-bin/add.cgi?msg=123«). Или другой пример, разрешаем загрузку всех скриптов и изображений только из защищенной области сайта: «X-Content-Security-Policy: allow https://*:443«.

CSP также позволяет определить список внешних ресурсов, используемых на текущей странице, чтобы отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src. Пример:

  X-Content-Security-Policy: allow 'self'; img-src *; \
                           object-src media1.com media2.com *.cdn.com; \
                           script-src trustedscripts.example.com

В заключение можно отметить, прогресс в развитии другой инициативы по увеличению безопасности пользователей Firefox — в дополнение к представленному недавно коду проверки необходимости выполнения обновления Flash плагина, представлена специальная страница Plugin Check, осуществляющая проверку всех установленных в браузере сторонних дополнений. В случае, если в установленных версиях дополнений имеется неисправленная узявимость, пользователю настойчиво предлагается установить более свежую версию.

http://www.opennet.ru/opennews/art.shtml?num=23723

One thought on “Разработчики Mozilla выпустили прототип Firefox с защитой от XSS и CSRF атак

  1. Массовая рассылка обьявлений на 8 тысячи 800 досок а так же на 50 тысяч закрытых форумови о ваших услугах сразу же узнают десятки тысяч клиентов.
    Рассылка будет сделана в течении 15 минут после оплаты.
    Всего 233 рублей за рассылку.
    Наш тел. 89266853242 ICQ 568113539 rutop10@mail.ru qr 637t t sa

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *