c.m.g
03-10-2009, 08:47
venerdì 2 ottobre 2009
Inserito all'interno di alcune versioni preliminari di Firefox, promette di difendere l'utente dagli attacchi Cross-Site Scripting, frequentemente usati per rubare dati sensibili e disseminare virus
Roma - Talvolta l'uso di un firewall e di un buon antivirus non è sufficiente a proteggere i PC dalle minacce che provengono da Internet, soprattutto quando queste minacce prendono di mira le debolezze presenti sui siti web: in questi casi le protezioni più efficaci sono quelle offerte dal browser. È per tale ragione che Mozilla sta lavorando all'implementazione, in Firefox, della specifica Content Security Policy (https://wiki.mozilla.org/Security/CSP/Spec) (CSP), un framework studiato per proteggere i siti - e di conseguenza anche gli utenti finali - dai famigerati attacchi Cross-Site Scripting (XSS (http://it.wikipedia.org/wiki/Cross-site_scripting)).
Stilata lo scorso anno, la specifica CSP è appena entrata a far parte di alcune build preliminari (http://people.mozilla.org/~bsterne/content-security-policy/download.html) di Firefox, e la sua efficacia può essere messa alla prova con i test pubblicati in questa pagina (http://people.mozilla.org/~bsterne/content-security-policy/demo.cgi).
CSP consente a webmaster e web designer di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web: ad esempio, gli amministratori di un sito possono restringere il tipo di script eseguiti sulle loro pagine e le fonti da cui questi provengono; nel caso più drastico, possono anche scegliere di disattivare del tutto l'esecuzione di codice JavaScript. Tali accorgimenti, secondo Mozilla, possono contribuire a ridurre in modo determinante il numero di attacchi XSS e Cross Site Request Forgery (CSRF (http://en.wikipedia.org/wiki/Cross_Site_Request_Forgery)) con cui i cracker tentano ogni giorno di sottrarre informazioni sensibili agli utenti o inoculare malware nei loro PC.
Brandon Sterne, security program manager di Mozilla, ha spiegato in questo post (http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-the-future-of-browser-security/) che il suo team ha trascorso gli ultimi mesi a tradurre la specifica CSP in codice. Tale codice è ora stato integrato in alcune versioni sperimentali di Firefox 3.7, così che sviluppatori, esperti di sicurezza e amministratori di server possano cominciare a testarlo e fornire il proprio feedback. Sterne avverte però che questa prima implementazione di CSP è ancora incompleta, e manca ad esempio del supporto agli HTTP redirect.
"Siamo entusiasti di aver ricevuto così tanti feedback positivi dagli altri vendor di browser, dagli amministratori di siti web e dai ricercatori di sicurezza, e siamo davvero orgogliosi del design scaturito da questo confronto", ha commentato Sterne.
L'esperto di sicurezza di Mozilla non ha fornito alcuna stima sui tempi necessari a completare l'implementazione di CSP. L'ipotesi più plausibile è che tale tecnologia entrerà a far parte delle versioni pubbliche di Firefox entro il rilascio della futura release 4.0, il cui debutto è previsto tra circa un anno.
Alessandro Del Rosso
Fonte: Punto Informatico (http://punto-informatico.it/2720263/PI/News/mozilla-forgia-uno-scudo-antixss.aspx)
Inserito all'interno di alcune versioni preliminari di Firefox, promette di difendere l'utente dagli attacchi Cross-Site Scripting, frequentemente usati per rubare dati sensibili e disseminare virus
Roma - Talvolta l'uso di un firewall e di un buon antivirus non è sufficiente a proteggere i PC dalle minacce che provengono da Internet, soprattutto quando queste minacce prendono di mira le debolezze presenti sui siti web: in questi casi le protezioni più efficaci sono quelle offerte dal browser. È per tale ragione che Mozilla sta lavorando all'implementazione, in Firefox, della specifica Content Security Policy (https://wiki.mozilla.org/Security/CSP/Spec) (CSP), un framework studiato per proteggere i siti - e di conseguenza anche gli utenti finali - dai famigerati attacchi Cross-Site Scripting (XSS (http://it.wikipedia.org/wiki/Cross-site_scripting)).
Stilata lo scorso anno, la specifica CSP è appena entrata a far parte di alcune build preliminari (http://people.mozilla.org/~bsterne/content-security-policy/download.html) di Firefox, e la sua efficacia può essere messa alla prova con i test pubblicati in questa pagina (http://people.mozilla.org/~bsterne/content-security-policy/demo.cgi).
CSP consente a webmaster e web designer di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web: ad esempio, gli amministratori di un sito possono restringere il tipo di script eseguiti sulle loro pagine e le fonti da cui questi provengono; nel caso più drastico, possono anche scegliere di disattivare del tutto l'esecuzione di codice JavaScript. Tali accorgimenti, secondo Mozilla, possono contribuire a ridurre in modo determinante il numero di attacchi XSS e Cross Site Request Forgery (CSRF (http://en.wikipedia.org/wiki/Cross_Site_Request_Forgery)) con cui i cracker tentano ogni giorno di sottrarre informazioni sensibili agli utenti o inoculare malware nei loro PC.
Brandon Sterne, security program manager di Mozilla, ha spiegato in questo post (http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-the-future-of-browser-security/) che il suo team ha trascorso gli ultimi mesi a tradurre la specifica CSP in codice. Tale codice è ora stato integrato in alcune versioni sperimentali di Firefox 3.7, così che sviluppatori, esperti di sicurezza e amministratori di server possano cominciare a testarlo e fornire il proprio feedback. Sterne avverte però che questa prima implementazione di CSP è ancora incompleta, e manca ad esempio del supporto agli HTTP redirect.
"Siamo entusiasti di aver ricevuto così tanti feedback positivi dagli altri vendor di browser, dagli amministratori di siti web e dai ricercatori di sicurezza, e siamo davvero orgogliosi del design scaturito da questo confronto", ha commentato Sterne.
L'esperto di sicurezza di Mozilla non ha fornito alcuna stima sui tempi necessari a completare l'implementazione di CSP. L'ipotesi più plausibile è che tale tecnologia entrerà a far parte delle versioni pubbliche di Firefox entro il rilascio della futura release 4.0, il cui debutto è previsto tra circa un anno.
Alessandro Del Rosso
Fonte: Punto Informatico (http://punto-informatico.it/2720263/PI/News/mozilla-forgia-uno-scudo-antixss.aspx)