Брендон Штерн (Brandon Sterne), менеджер по проектам, связанным с безопасностью Mozilla, представил новую политику безопасности Firefox, известную под названием Content Security Policy (CSP). Новая политика направлена против эпидемии атак межсайтового скриптинга (XSS), в течение нескольких лет являющихся бичом многих популярных сайтов.
Стандартные XSS-атаки иногда используют уязвимости в web-приложениях для того, чтобы запустить в браузере JavaScript с правами доверяемого домена. С CSP браузер будет выполнять только скрипты с доменов, указанных в "белом списке" - всё остальное будет блокироваться. Это даёт администраторам возможность, например, указать свой собственный скрипт-сервер, с которого можно грузить и выполнять скрипты.
С CSP даже JavaScript, встроенный в страничку, по умолчанию не будет больше выполняться. Сайты будут иметь возможность указать браузеру полностью отключить выполнение JavaScript из контекста браузера, что может оказаться удобным на сайтах, где скрипты вообще не используются. Тем не менее технология CSP будет полностью обратно-совместимой: если на сайте не выставлены специальные управляющие заголовки CSP, то скрипты будут обработаны по старой схеме, а браузеры не поддерживающие CSP просто проигнорируют дополнительный заголовок. CSP также может отчасти защитить от так называемых Clickjacking-атак и автоматически будет перенаправлять с HTTP на HTTPS там, где это возможно.
Для того, чтобы отличить "белый" контент от искусственно введённого или модифицированного, CSP требует, чтобы весь JavaScript для страницы грузился из внешнего файла и подавался с явно разрешённого хоста. Это означает, что все внедрённые на страницу скрипты, javascript:URI и HTML-атрибуты, предназначенные для обработки событий, будут игнорироваться. Считаться годными будут только скрипты, включённые посредством тега "script src", указывающего на хост, внесённый в "белый список". Также CSP допускает форсирование других, диктуемых здравым смыслом, ограничений, связанных с безопасностью.
По словам Брендона Штерна, команда Mozilla "понимает, что предлагаемая модель кардинально отличается от текущей ситуации", и предлагает несколько аргументов в пользу принятия политики CSP. Тем не менее, Брендон пока не сообщает точной даты, когда можно будет ожидать внедрения CSP в продукты Mozilla. На сегодняшний день Google также собирается по умолчанию доставлять страницы по HTTPS для повышения их безопасности и предотвращения перехвата информации.
25.06.2009