На прошлой неделе компания Mozilla выложила в Сеть

предварительные сборки браузера Firefox
, обладающие улучшенной защитой и
предназначенные для минимизации риска при проведении определенных типов сетевых
атак.

В своем

сообщении в блоге
Брендон Стерн, менеджер Mozilla по проектам в области
безопасности, попросил исследователей и администраторов серверов помочь
протестировать внесенные компанией изменения, скачав подходящую для той или иной
операционной системы версию дистрибутива.

Основное нововведение в данных предварительных сборках – это внедрение
спецификации

Content Security Policy
(CSP), предназначенной для защиты от атак с
использованием межсайтового скриптинга (XSS). Ранее спецификация CSP
предусматривала также защиту от межсайтовой подделки запросов (CSRF), однако в
настоящее время эти функции выделены в отдельную спецификацию Origin Header.

Стоит отметить, что с помощью XSS- и CSRF-атак злоумышленники обычно крадут
данные, проводят дефейс веб-сайтов и распространяют вредоносные приложения.
Реализация подобных схем становится возможной из-за наличия ошибок в коде
сетевых приложений.

Добавим также, что помимо защиты от межсайтового скриптинга, спецификация CSP
предусматривает также наличие средств защиты от клик-джекинга и мониторинга
пакетов. Работа над CSP еще не завершена, однако в Mozilla выражают надежду, что
всестороннее тестирование ускорит это процесс.

Оставить мнение