|
|||||||
|
|
|
 |
|
|
Strumenti |
03-10-2009, 08:47
|
#1 | |||
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
[NEWS] Mozilla forgia uno scudo antiXSS
venerdì 2 ottobre 2009
Roma - Talvolta l'uso di un firewall e di un buon antivirus non è sufficiente a proteggere i PC dalle minacce che provengono da Internet, soprattutto quando queste minacce prendono di mira le debolezze presenti sui siti web: in questi casi le protezioni più efficaci sono quelle offerte dal browser. È per tale ragione che Mozilla sta lavorando all'implementazione, in Firefox, della specifica Content Security Policy (CSP), un framework studiato per proteggere i siti - e di conseguenza anche gli utenti finali - dai famigerati attacchi Cross-Site Scripting (XSS). Stilata lo scorso anno, la specifica CSP è appena entrata a far parte di alcune build preliminari di Firefox, e la sua efficacia può essere messa alla prova con i test pubblicati in questa pagina. CSP consente a webmaster e web designer di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web: ad esempio, gli amministratori di un sito possono restringere il tipo di script eseguiti sulle loro pagine e le fonti da cui questi provengono; nel caso più drastico, possono anche scegliere di disattivare del tutto l'esecuzione di codice JavaScript. Tali accorgimenti, secondo Mozilla, possono contribuire a ridurre in modo determinante il numero di attacchi XSS e Cross Site Request Forgery (CSRF) con cui i cracker tentano ogni giorno di sottrarre informazioni sensibili agli utenti o inoculare malware nei loro PC. Brandon Sterne, security program manager di Mozilla, ha spiegato in questo post che il suo team ha trascorso gli ultimi mesi a tradurre la specifica CSP in codice. Tale codice è ora stato integrato in alcune versioni sperimentali di Firefox 3.7, così che sviluppatori, esperti di sicurezza e amministratori di server possano cominciare a testarlo e fornire il proprio feedback. Sterne avverte però che questa prima implementazione di CSP è ancora incompleta, e manca ad esempio del supporto agli HTTP redirect. "Siamo entusiasti di aver ricevuto così tanti feedback positivi dagli altri vendor di browser, dagli amministratori di siti web e dai ricercatori di sicurezza, e siamo davvero orgogliosi del design scaturito da questo confronto", ha commentato Sterne. L'esperto di sicurezza di Mozilla non ha fornito alcuna stima sui tempi necessari a completare l'implementazione di CSP. L'ipotesi più plausibile è che tale tecnologia entrerà a far parte delle versioni pubbliche di Firefox entro il rilascio della futura release 4.0, il cui debutto è previsto tra circa un anno. Alessandro Del Rosso Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|||
|
|
|
03-10-2009, 09:00
|
#2 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
Firefox dichiara guerra agli attacchi XSS su webnews
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:49.
