Sicurezza siti web: script nascosti che rubano dati di nascosto bloccati da Firefox
Firefox integrerà la specifica Content Security Policy (CSP), un framework capace di bloccare gli attacchi XSS e CSRF.
Uno degli attacchi più temuti ai siti web è il cosiddetto XSS, il Cross-Site Scripting. Il malintenzionato in pratica riesce a inserire codice spurio nella pagina intercettando in questo modo dati sensibili direttamente dal browser dell’utente. Per aumentare le difese verso questa minaccia i laboratori Mozilla sono al lavoro sull’implementazione della specifica Content Security Policy (CSP), un framework rivolto a webmaster e web designer progettato proprio per garantire una maggiore difesa da questo tipo di attacco.
Sostanzialmente CSP opera definendo anticipatamente le modalità in cui un sito esterno può interaqire con una certa pagina web, limitando e controllando l’utilizzo di script e indicando preventivamente quelli consentiti. In questo modo il rischio di attacchi XSS e Cross Site Request Forgery (CSRF) si riduce drasticamente, avvisando preventivamente il browser su quali sono gli script e i codici leciti da quelli intrusivi.
Benché il lavoro non sia ancora completo – manca per esempio il supporto agli HTTP redirect – l’integrazione del CSP in alcune versioni test di Firefox 3.7 sta già dando modo a sviluppatori ed esperti di security di verificarne l’efficacia.
Dai Mozilla Labs non arriva ancora nessuna anticipazione precisa su quando il CSP verrà integrato in modo stabile in Firefox. Verosimilmente c’è da aspettarsi che la prima versione provvista del supporto al nuovo framework sarà la release 4.0, che dovrebbe essere lanciata entro un anno.
webmaster
Firefox integrerà la specifica Content Security Policy (CSP), un framework capace di bloccare gli attacchi XSS e CSRF.
Uno degli attacchi più temuti ai siti web è il cosiddetto XSS, il Cross-Site Scripting. Il malintenzionato in pratica riesce a inserire codice spurio nella pagina intercettando in questo modo dati sensibili direttamente dal browser dell’utente. Per aumentare le difese verso questa minaccia i laboratori Mozilla sono al lavoro sull’implementazione della specifica Content Security Policy (CSP), un framework rivolto a webmaster e web designer progettato proprio per garantire una maggiore difesa da questo tipo di attacco.
Sostanzialmente CSP opera definendo anticipatamente le modalità in cui un sito esterno può interaqire con una certa pagina web, limitando e controllando l’utilizzo di script e indicando preventivamente quelli consentiti. In questo modo il rischio di attacchi XSS e Cross Site Request Forgery (CSRF) si riduce drasticamente, avvisando preventivamente il browser su quali sono gli script e i codici leciti da quelli intrusivi.
Benché il lavoro non sia ancora completo – manca per esempio il supporto agli HTTP redirect – l’integrazione del CSP in alcune versioni test di Firefox 3.7 sta già dando modo a sviluppatori ed esperti di security di verificarne l’efficacia.
Dai Mozilla Labs non arriva ancora nessuna anticipazione precisa su quando il CSP verrà integrato in modo stabile in Firefox. Verosimilmente c’è da aspettarsi che la prima versione provvista del supporto al nuovo framework sarà la release 4.0, che dovrebbe essere lanciata entro un anno.
webmaster
