Разработчики проекта Mozilla представили первый рабочий прототип Firefox с реализацией технологии CSP (Content Security Policy), направленной на интеграцию в web-браузеры средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).

К работе по улучшению предварительной спецификации CSP приглашаются производители других web-браузеров, эксперты по безопасности и web-мастера. Для знакомства с возможностями технологии подготовлена специальная демонстрационная страница (http://people.mozilla.org/~bsterne/content-security-policy/demo.cgi), на которой представлены 11 примеров атак, которым может противостоять CSP.

Спецификация CSP вводит в обиход новый HTTP-заголовок, при помощи которого web-мастер может явно задать какие из скриптов можно выполнять для заданного домена. Например, установка заголовка "X-Content-Security-Policy: allow 'self'" разрешит только выполнение локальных JavaScript файлов, заблокирует выполнение JavaScript блоков, определенных непосредственно в HTML документе и не позволит выполнить операцию на внешнем сайте через img src ссылку в URI которой фигурируют переменные (например, "img src=http://www.test.ru/cgi-bin/add.cgi?msg=123"). Или другой пример, разрешаем загрузку всех скриптов и изображений только из защищенной области сайта: "X-Content-Security-Policy: allow https://*:443".

CSP также позволяет определить список внешних ресурсов, используемых на текущей странице, чтобы отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src. Пример:

X-Content-Security-Policy: allow 'self'; img-src *; \
object-src media1.com media2.com *.cdn.com; \
script-src trustedscripts.example.com


В заключение можно отметить, прогресс в развитии другой инициативы по увеличению безопасности пользователей Firefox - в дополнение к представленному недавно коду проверки необходимости выполнения обновления Flash плагина, представлена (http://blog.mozilla.com/webdev/2009/10/02/upyourplug-needs-your-help/) специальная страница Plugin Check, осуществляющая проверку всех установленных в браузере сторонних дополнений. В случае, если в установленных версиях дополнений имеется неисправленная узявимость, пользователю настойчиво предлагается установить более свежую версию.

05.10.2009
30.09.2009