Firefox al sicuro dagli attacchi XSS grazie a Content Security Policy

Dopo aver introdotto il tag <video> in Firefox 3.5, Mozilla Foundation continua nella sua missione di migliorare il Web presentando […]

Dopo aver introdotto il tag <video> in Firefox 3.5, Mozilla Foundation continua nella sua missione di migliorare il Web presentando una soluzione per ridurre l´impatto degli attacchi di tipo cross-site scripting (XSS).

Gli attacchi XSS consistono nell´inserimento, all´interno di pagine Web legittime, di codice JS che ne sovverte il funzionamento, al fine di catturare credenziali, redirigere il traffico, ingannare l´utente, etc. La soluzione di Mozilla porta il nome di Content Security Policy e in maniera estremamente semplice potrebbe risolvere questo problema.

Tradizionalmente, infatti, è possibile richiamare file Javascript in ogni pagina, senza nessun tipo di controllo; la soluzione di Mozilla, invece, prevede la definizione, per ogni sito, di una lista di domini sicuri: ogni Javascript richiamato da un dominio non sicuro non verrà eseguito dal browser.

Come potrete notare, l´implementazione risulta essere semplice e il guadagno in termini di sicurezza sembra essere sostanziale: ora non rimane che attendere le reazioni degli sviluppatori e, soprattutto, degli altri produttori di browser.