На прошлой неделе компания Mozilla выложила в Сеть
предварительные сборки браузера Firefox, обладающие улучшенной защитой и
предназначенные для минимизации риска при проведении определенных типов сетевых
атак.
В своем
сообщении в блоге Брендон Стерн, менеджер Mozilla по проектам в области
безопасности, попросил исследователей и администраторов серверов помочь
протестировать внесенные компанией изменения, скачав подходящую для той или иной
операционной системы версию дистрибутива.
Основное нововведение в данных предварительных сборках – это внедрение
спецификации
Content Security Policy (CSP), предназначенной для защиты от атак с
использованием межсайтового скриптинга (XSS). Ранее спецификация CSP
предусматривала также защиту от межсайтовой подделки запросов (CSRF), однако в
настоящее время эти функции выделены в отдельную спецификацию Origin Header.
Стоит отметить, что с помощью XSS- и CSRF-атак злоумышленники обычно крадут
данные, проводят дефейс веб-сайтов и распространяют вредоносные приложения.
Реализация подобных схем становится возможной из-за наличия ошибок в коде
сетевых приложений.
Добавим также, что помимо защиты от межсайтового скриптинга, спецификация CSP
предусматривает также наличие средств защиты от клик-джекинга и мониторинга
пакетов. Работа над CSP еще не завершена, однако в Mozilla выражают надежду, что
всестороннее тестирование ускорит это процесс.
