Home > Sicurezza > Mozilla forgia uno scudo antiXSS

Mozilla forgia uno scudo antiXSS

Talvolta l’uso di un firewall e di un buon antivirus non è sufficiente a proteggere i PC dalle minacce che provengono da Internet, soprattutto quando queste minacce prendono di mira le debolezze presenti sui siti web: in questi casi le protezioni più efficaci sono quelle offerte dal browser.

È per tale ragione che Mozilla sta lavorando all’implementazione, in Firefox, della specifica Content Security Policy (CSP), un framework studiato per proteggere i siti – e di conseguenza anche gli utenti finali – dai famigerati attacchi Cross-Site Scripting (XSS). Stilata lo scorso anno, la specifica CSP è appena entrata a far parte di alcune build preliminari di Firefox, e la sua efficacia può essere messa alla prova con i test pubblicati in questa pagina. CSP consente a webmaster e web designer di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web: ad esempio, gli amministratori di un sito possono restringere il tipo di script eseguiti sulle loro pagine e le fonti da cui questi provengono; nel caso più drastico, possono anche scegliere di disattivare del tutto l’esecuzione di codice JavaScript. Tali accorgimenti, secondo Mozilla, possono contribuire a ridurre in modo determinante il numero di attacchi XSS e Cross Site Request Forgery (CSRF) con cui i cracker tentano ogni giorno di sottrarre informazioni sensibili agli utenti o inoculare malware nei loro PC. Brandon Sterne, security program manager di Mozilla, ha spiegato in questo post che il suo team ha trascorso gli ultimi mesi a tradurre la specifica CSP in codice.

Tale codice è ora stato integrato in alcune versioni sperimentali di Firefox 3.7, così che sviluppatori, esperti di sicurezza e amministratori di server possano cominciare a testarlo e fornire il proprio feedback. Sterne avverte però che questa prima implementazione di CSP è ancora incompleta, e manca ad esempio del supporto agli HTTP redirect. “Siamo entusiasti di aver ricevuto così tanti feedback positivi dagli altri vendor di browser, dagli amministratori di siti web e dai ricercatori di sicurezza, e siamo davvero orgogliosi del design scaturito da questo confronto”, ha commentato Sterne. L’esperto di sicurezza di Mozilla non ha fornito alcuna stima sui tempi necessari a completare l’implementazione di CSP. L’ipotesi più plausibile è che tale tecnologia entrerà a far parte delle versioni pubbliche di Firefox entro il rilascio della futura release 4.0, il cui debutto è previsto tra circa un anno.

Fonte: PUNTO-INFORMATICO

  1. Non c'è ancora nessun commento.
  1. No trackbacks yet.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: