Dopo aver introdotto il tag <video> in Firefox 3.5, Mozilla Foundation continua nella sua missione di migliorare il Web presentando una soluzione per ridurre l’impatto degli attacchi di tipo cross-site scripting (XSS).
Gli attacchi XSS consistono nell’inserimento, all’interno di pagine Web legittime, di codice JS che ne sovverte il funzionamento, al fine di catturare credenziali, redirigere il traffico, ingannare l’utente, etc. La soluzione di Mozilla porta il nome di Content Security Policy e in maniera estremamente semplice potrebbe risolvere questo problema.
Tradizionalmente, infatti, è possibile richiamare file Javascript in ogni pagina, senza nessun tipo di controllo; la soluzione di Mozilla, invece, prevede la definizione, per ogni sito, di una lista di domini sicuri: ogni Javascript richiamato da un dominio non sicuro non verrà eseguito dal browser.
Come potrete notare, l’implementazione risulta essere semplice e il guadagno in termini di sicurezza sembra essere sostanziale: ora non rimane che attendere le reazioni degli sviluppatori e, soprattutto, degli altri produttori di browser.
sì ma non è certo solo quella la causa degli XSS.
http://php.html.it/guide/lezione/2989/crosssite-scripting-xss/
di emmebì - 9 luglio 2009 - 09:36
Infatti mi pare una mezza sciocchezza… l’uovo di colombo.
di anonymous - 9 luglio 2009 - 16:28
Bah… e che significa “sito sicuro” ? Famoso ? noto ? Un XSS può essere iniettato in un sito considerato ultra sicuro, nel momento che qualcuno scopre una vulnerabilità.
di mmorselli - 9 luglio 2009 - 22:13
si ma gli script esterni devono essere hostati da qualche parte… Si è l’uovo di colombo però per molti XSS funziona realmente
di rizlox - 10 luglio 2009 - 09:42
Sicuramente infatti non è inutile, pensiamo a tutti i JS iniettati da counter malevoli.
Non è la risoluzione completa agli XSS, dicevo, ma ovviamente meglio che il nulla degli avversari.
di emmebì - 10 luglio 2009 - 13:18