Firefox 4 Støtter Content Security Policy

Firefox 4 Støtter Content Security Policy

Content Security Policy er en standard utviklet av Mozilla som beskytter mot Cross Site Scripting (XSS) angrep. Cross site scripting-angrep bruke sårbarheter i nettsteder for å injisere Javascript-kode i sider eller nettadressene til det området. Den injiserte Javascript-koden deretter henrettet når besøkende åpne en spesielt forberedt link eller side på nettstedet. Angrep kan få alvorlige konsekvenser, kan det for eksempel være mulig å stjele cookies fra brukere å etterligne dem på stedet.

Content Security Policy har vært under utvikling en stund .. Den grunnleggende ideen bak standard er å gi webmastere et verktøy for hånden for å godkjenne Javascript, og andre gjenstander og filer, som kan utføres på stedet. Denne implementerings blokkerer all Javascript-kode som kjøres på området og ikke i listen over tillatte nettsteder, noe som betyr at angripere ikke kan utnytte mulige XSS sårbarheter på nettsiden eller serveren.

En nettleser som støtter CSP ignorerer kode som er ikke i hvitelisten. Nettlesere som ikke støtter CSP ignorere politikken.
Er
Content Security Protection for brukere

CSP foreløpig bare støttes av Firefox 4, Thunderbird 3.3 og SeaMonkey 2.1. Du kan teste funksjonaliteten ved å besøke denne testside.

Twitter nylig annonsert at de har lagt CSP til deres mobilversjon, tilgjengelig under mobile.twitter.com. Brukere som bruker en av de nevnte nettleserne er beskyttet mot XSS angrep på denne nettsiden.

Ingeniørene på Twitter fjernet all Javascript fra kode og implementert CSP spissen. De så begrenset header til Firefox 4 brukere og skapte en regel satt til å tillate Javascript fra sine eiendeler. Dette inkluderte innholdet levere nettverket som brukes til å levere stilark og brukerprofiler.

Uventede problemer ble påtruffet av utviklerne. De la merke til for eksempel at noen Firefox add-ons ble satt inn Javascript på side belastning, noe som utløste en trussel rapport. De Twitter ingeniører merke videre at noen ISPer inn Javascript-kode eller endret bildet koder for caching grunner.

De klarte å løse disse problemene ved mandat SSL for alle Firefox 4 brukere som har tilgang til mobile Twitter nettsted. Anmeldelser


En test med Firebug viser at den mobile versjonen av Twitter er faktisk bruker politikk på området. Vær oppmerksom på at Twitter gjør en user agent sjekk og er veldig restriktiv med det. Firefox 5 eller Firefox 6 brukere vil ikke få politikken i dag.

Content Security Protection for webansvarlige

webansvarlige kan ha en del arbeid for hånden for å legge til støtte for CSP til deres nettside. Javascript-kode som er direkte innebygd i dokumentene vil ikke bli henrettet lenger, som har flere implikasjoner. Webmastere må flytte koden til eksterne Javascript-filer.

Politikk er spesifisert med X-Content-Security-politikk
spissen. Overskriften X-Content-Security-politikk. Det er mulig 'selv' * .ghacks.net
for eksempel tillater Javascript må være lastet fra ghacks.net og alle underdomener av ghacks.net

Den bruker CSP guide på Mozilla tilbyr flere eksempler på hvordan du stiller de riktige overskrifter.

Nettlesere som ikke støtter CSP ignorere spissen.

CSP tilbyr ytterligere to former for beskyttelse. Det begrenser Clickjacking angrep. Clickjacking refererer til regissere en brukers museklikk til et mål på et annet nettsted. Dette gjøres ofte ved å bruke gjennomsiktige rammer på den opprinnelige nettsiden.

Content Security Policy kan også brukes til å redusere pakke sniffing angrep, som det lar webmaster til spesifikke protokoller som får lov til å bli brukt. Det er for eksempel mulig å tvinge HTTPS bare tilkoblinger.

CSP Politikk direktivene er tilgjengelig her på Mozilla.

Ved siden av de allerede nevnte alternativene er parametere til bestemte verter hvor bilder, mediefiler, objekter eller fonter kan lastes ned fra.

Plugins er tilgjengelig for WordPress og Drupal som legger politikken til støttede nettsteder automatisk når den aktiveres.

Bookmarklet

En bookmarklet er opprettet av Brandon Sterne å hjelpe webmastere i å definere riktig spissen. Den skanner utgangspunktet siden for Javascript og viser en foreslått politikk.



Bekymringer og problemer

Det største problemet i dag er at SSP er bare støttes av Firefox 4. Ikke av Internet Explorer, Chrome, Opera eller Safari. Men selv om det ville bli støttet av alle nettlesere, ville det fortsatt være avhengig av webmastere til å gjennomføre de overskrifter på sine nettsider.

En dytt i riktig retning kan komme fra Twitter, dersom vedtaket er gjort for å rolle ut CSP header til hoved Twitter nettsiden, så vel. Anmeldelser