Hirdetés

A cross-site-scripting (XSS) támadások elleni védekezésre kifejlesztett tartalombiztonsági technológia, a CSP (content security policy) hamarosan integráns részét képezheti a Firefox böngészőnek, azonban még mielőtt a Mozilla védelmi mechanizmusa ténylegesen beépülne a szoftver kódjába, körültekintő tesztelésnek kell alávetni – ebben kér most segítséget a cég IT-szakemberektől. A vállalat reméli, egyszer s mindenkorra leszámolhat az egyik legnagyobb webes fenyegetettséget jelentő támadási metódussal, ennek érdekében pedig már hónapok óta foltozgatja CSP-megoldását. Brandon Sterne, a Mozilla programmenedzsere blogbejegyzésében elégedetten nyugtázta a korai, zárt ajtók mögött folytatott tesztekre érkezett pozitív visszajelzéseket, ugyanakkor figyelmeztet arra, hogy az implementáció még korántsem készült el, például a HTTP-átirányításokat jelenleg még nem kezeli a CSP, azonban „rövidesen” megoldják a kérdést.

Az XSS-alapú támadások azért működnek, mert a böngészőalkalmazások minden tartalmat azonos szintű jogosultsággal kezelnek. A CSP egy olyan mechanizmust nyújt az oldalak számára, melynek segítségével informálhatják a böngészőt arról, melyik tartalom tiszta és melyik veszélyes – így a szoftver képes figyelmen kívül hagyni a potenciálisan kártékony kódokat. Mindez kétségkívül jól hangzik, de a védelemhez korántsem elegendő: a legitim és illegitim tartalmak megfelelő megkülönbözetéséhez ugyanis a CSP például megköveteli, hogy minden JavaScript külső, megbízható forrásból töltődjön be. Ez a jelenlegi webes környezetben komoly problémát jelent, hiszen a Mozilla elképzelése csak egy olyan felületen működik, melyet eleve ebben a szisztémában alakítottak ki a múltban. A cég ezért már korábban is hangsúlyozta, hogy a CSP szakaszosan, fázisokra bontva is implementálható, illetve módosításokkal komplex oldalak is képesek támogatni a technológiát.