A cross-site-scripting (XSS) támadások elleni védekezésre kifejlesztett tartalombiztonsági technológia, a CSP (content security policy) hamarosan integráns részét képezheti a Firefox böngészőnek, azonban még mielőtt a Mozilla védelmi mechanizmusa ténylegesen beépülne a szoftver kódjába, körültekintő tesztelésnek kell alávetni – ebben kér most segítséget a cég IT-szakemberektől. A vállalat reméli, egyszer s mindenkorra leszámolhat az egyik legnagyobb webes fenyegetettséget jelentő támadási metódussal, ennek érdekében pedig már hónapok óta foltozgatja CSP-megoldását. Brandon Sterne, a Mozilla programmenedzsere blogbejegyzésében elégedetten nyugtázta a korai, zárt ajtók mögött folytatott tesztekre érkezett pozitív visszajelzéseket, ugyanakkor figyelmeztet arra, hogy az implementáció még korántsem készült el, például a HTTP-átirányításokat jelenleg még nem kezeli a CSP, azonban „rövidesen” megoldják a kérdést.
Az XSS-alapú támadások azért működnek, mert a böngészőalkalmazások minden tartalmat azonos szintű jogosultsággal kezelnek. A CSP egy olyan mechanizmust nyújt az oldalak számára, melynek segítségével informálhatják a böngészőt arról, melyik tartalom tiszta és melyik veszélyes – így a szoftver képes figyelmen kívül hagyni a potenciálisan kártékony kódokat. Mindez kétségkívül jól hangzik, de a védelemhez korántsem elegendő: a legitim és illegitim tartalmak megfelelő megkülönbözetéséhez ugyanis a CSP például megköveteli, hogy minden JavaScript külső, megbízható forrásból töltődjön be. Ez a jelenlegi webes környezetben komoly problémát jelent, hiszen a Mozilla elképzelése csak egy olyan felületen működik, melyet eleve ebben a szisztémában alakítottak ki a múltban. A cég ezért már korábban is hangsúlyozta, hogy a CSP szakaszosan, fázisokra bontva is implementálható, illetve módosításokkal komplex oldalak is képesek támogatni a technológiát.
Tesztelhető a Mozilla új biztonsági technológiája
- Írta: Ifj. Zettner Tamás
- Forrás: IT café
- Kapcsolódó cégek:
- Mozilla
Azóta történt
-
Frissítve: Microsoft-kiegészítőket tilt(ott) a Firefox
A még mindig meglévő biztonsági kockázat miatt blokkoltak egy plug-int és egy add-ont.
Biztonság 80
-
Raindrop: a Google Wave vetélytársa?
A Mozilla is belevágott egy webes, egyesített kommunikációs alkalmazás kifejlesztésébe, de jelenleg még csak a prototípus van készen.
Tech 18
-
Letölthető a SeaMonkey 2.0
A Mozilla megújított internetes szoftvercsomagja magyar nyelven is elérhető.
Szoftver 18
-
Három kritikus hibát javítottak a Firefoxban
A biztonsági problémákat kezelő patchek mellett stabilitási szoftverfrissítések is érkeztek.
Szoftver 0
Előzmények
-
A Mozilla elnöke is ellenzi a Google Chrome Frame-et
Mitchell Baker szerint nagyon rossz döntést hoztak a Google-nál, mivel nem megoldani fogják a gondokat, hanem szaporítani őket.
Tech 86
-
A Firefox-felhasználók nem akarnak Flasht frissíteni
A Mozilla kezdeményezése egyszerre siker és kudarc: a felhasználók többsége ugyan nem törődik a böngésző figyelmeztetésével, de idővel beérhet a kezdeményezés.
Szoftver 50
-
Megérkezett a SeaMonkey 2.0 második bétája
Az internetes szoftvercsomag végleges változatára még egy hónapot biztosan várni kell.
Szoftver 5
-
A Firefox 4 külsőre olyan lesz, mint a Chrome
A Mozilla közzétette frissítési ütemtervének legújabb változatát, melyben 2010 végéig három nagy kiadás szerepel.
Szoftver 107
Percről percre
ma Mindenképpen van fantázia az MG4-ben, az alapfeladatokat olcsón kipipálja, de többet akar nyújtani, mint amire képes.
ph Az MSI is bejelentkezett a gamer routerek piacára, fő ajánlatuk egy Wi-Fi 6E kompatibilis modell.