Alessandro Del Rosso

Mozilla forgia uno scudo antiXSS

Inserito all'interno di alcune versioni preliminari di Firefox, promette di difendere l'utente dagli attacchi Cross-Site Scripting, frequentemente usati per rubare dati sensibili e disseminare virus

Roma - Talvolta l'uso di un firewall e di un buon antivirus non è sufficiente a proteggere i PC dalle minacce che provengono da Internet, soprattutto quando queste minacce prendono di mira le debolezze presenti sui siti web: in questi casi le protezioni più efficaci sono quelle offerte dal browser. ╚ per tale ragione che Mozilla sta lavorando all'implementazione, in Firefox, della specifica Content Security Policy (CSP), un framework studiato per proteggere i siti - e di conseguenza anche gli utenti finali - dai famigerati attacchi Cross-Site Scripting (XSS).

Stilata lo scorso anno, la specifica CSP è appena entrata a far parte di alcune build preliminari di Firefox, e la sua efficacia può essere messa alla prova con i test pubblicati in questa pagina.

CSP consente a webmaster e web designer di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web: ad esempio, gli amministratori di un sito possono restringere il tipo di script eseguiti sulle loro pagine e le fonti da cui questi provengono; nel caso più drastico, possono anche scegliere di disattivare del tutto l'esecuzione di codice JavaScript. Tali accorgimenti, secondo Mozilla, possono contribuire a ridurre in modo determinante il numero di attacchi XSS e Cross Site Request Forgery (CSRF) con cui i cracker tentano ogni giorno di sottrarre informazioni sensibili agli utenti o inoculare malware nei loro PC.
Brandon Sterne, security program manager di Mozilla, ha spiegato in questo post che il suo team ha trascorso gli ultimi mesi a tradurre la specifica CSP in codice. Tale codice è ora stato integrato in alcune versioni sperimentali di Firefox 3.7, così che sviluppatori, esperti di sicurezza e amministratori di server possano cominciare a testarlo e fornire il proprio feedback. Sterne avverte però che questa prima implementazione di CSP è ancora incompleta, e manca ad esempio del supporto agli HTTP redirect.

"Siamo entusiasti di aver ricevuto così tanti feedback positivi dagli altri vendor di browser, dagli amministratori di siti web e dai ricercatori di sicurezza, e siamo davvero orgogliosi del design scaturito da questo confronto", ha commentato Sterne.

L'esperto di sicurezza di Mozilla non ha fornito alcuna stima sui tempi necessari a completare l'implementazione di CSP. L'ipotesi più plausibile è che tale tecnologia entrerà a far parte delle versioni pubbliche di Firefox entro il rilascio della futura release 4.0, il cui debutto è previsto tra circa un anno.

Alessandro Del Rosso
Notizie collegate
  • TecnologiaMozilla lavora al Firefox multiprocessoInaugurato un nuovo progetto che avrÓ il compito di rendere il panda rosso pi¨ simile a Chrome. Ogni scheda avrÓ il suo processo. A tutto vantaggio di stabilitÓ e sicurezza
  • SicurezzaGoogle Chrome e IE, attenti a quei dueGoogle ha rilasciato una nuova versione del proprio browser: sistema una grave vulnerabilitÓ sfruttabile via Internet Explorer
  • SicurezzaProblemi di phishing per GoogleSi rincorrono le dimostrazioni di una vulnerabilitÓ dell'architettura condivisa dalle web application di BigG. Gli utenti potrebbero fornire a sconosciuti le proprie password senza neppure rendersene conto
  • SicurezzaIl tallone d'Achille del webTre importanti siti italiani erano vulnerabili ad attacchi portati via browser. Risolto il problema, Punto Informatico parla con quelli che i siti li costruiscono, e con quelli che ai siti fanno le pulci
68 Commenti alla Notizia Mozilla forgia uno scudo antiXSS
Ordina
  • Ma con tutti io problemi che ci sono ancora in FireFox, questi pensano invece a implementare altre funzionalità?

    C'è ad esempio un VERGOGNOSO baco in FireFox che è lì da anni. Provate a fare il refresh di questa pagina:
    http://www.ryancramer.com/projects/asmselect/examp...

    Ad ogni refresh il radio button cambia stato. Ma santa polenta, sistemare prima questo no, eh?
    non+autenticato
  • è gratis. A cavallo donato...
    non+autenticato
  • - Scritto da: Pino
    > Ma con tutti io problemi che ci sono ancora in
    > FireFox, questi pensano invece a implementare
    > altre
    > funzionalità?
    >
    > C'è ad esempio un VERGOGNOSO baco in FireFox che
    > è lì da anni. Provate a fare il refresh di questa
    > pagina:
    > http://www.ryancramer.com/projects/asmselect/examp
    >
    > Ad ogni refresh il radio button cambia stato. Ma
    > santa polenta, sistemare prima questo no,
    > eh?
    ma SOLO su Firefox? su Chrome non lo fà
    comunque devo dire che la versione 3.5.3 finalmente mi ha favorevolmente colpito, tanto è vero che sopratutto su Windows 7, disabiliterò Explorer 8 (che mi fà caxare) e preinstallerò Chrome e Firefox.
    lroby
    5311
  • - Scritto da: Pino
    > Ma con tutti io problemi che ci sono ancora in
    > FireFox, questi pensano invece a implementare
    > altre
    > funzionalità?
    >
    > C'è ad esempio un VERGOGNOSO baco in FireFox che
    > è lì da anni. Provate a fare il refresh di questa
    > pagina:
    > http://www.ryancramer.com/projects/asmselect/examp
    >
    > Ad ogni refresh il radio button cambia stato. Ma
    > santa polenta, sistemare prima questo no,
    > eh?

    Miii! Che bug che hai segnalato!
    Adesso ci saranno dei cattivoni che sfrutteranno questo bug per un exploit che eseguira' del codice remoto sulla mia macchina, prelevando i miei dati sensibili dalla cache e trasmettendoli ai server russi...

    Vado subito a reinstallare IE6!
  • - Scritto da: Pino
    > Ma con tutti io problemi che ci sono ancora in
    > FireFox, questi pensano invece a implementare
    > altre
    > funzionalità?
    >
    > C'è ad esempio un VERGOGNOSO baco in FireFox che
    > è lì da anni. Provate a fare il refresh di questa
    > pagina:
    > http://www.ryancramer.com/projects/asmselect/examp
    >
    > Ad ogni refresh il radio button cambia stato. Ma
    > santa polenta, sistemare prima questo no,
    > eh?

    INCONCEPIBBILE!
    Adesso penso che inizierò a navigare con Lynx, senza la grafica queste cose non succedono!
    Funz
    12979
  • Se ti dico che ti st rispondendo da links2 da terminale ci credi?
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Darkschneid er
    > > Se ti dico che ti st rispondendo da links2 da
    > > terminale ci
    > > credi?
    >
    > meglio trolllurker allora.

    Non l'ho mica capita...
    Non è che navigo con links2, era solo per vedere se si poteva fare.
  • a me da' pure un page not found...
    non+autenticato
  • Titolo fuorviante.

    Il resto è OT
    non+autenticato
  • Internet Explorer 8 ce l'ha da secoli
    non+autenticato
  • ma quando mai....
    non+autenticato
  • Effettivamente provato il test con IE..due script bloccati e non carica più la pagina..ma non saprei quanto effettivamente sia per protezione o semplicemente perchè a quel punto si blocchi il browser sulla pagina...
    non+autenticato
  • ... c'e' gia' NoScript che fa egregiamente il suo lavoro, e lo sviluppatore e' italiano.
  • e cosa centra ?
    non+autenticato
  • - Scritto da: BlaBla
    > e cosa centra ?

    Quoto.
    non+autenticato
  • Visto che tanto uno NoScript se lo deve installare comunque ... non ho mica detto che fa schifo .. ho detto che e' superfluo.

    Nessuno sano di mente oggi lascia i siti liberi di eseguire i loro script a piacimento, e quindi se lo conosce installa noscript che ha gia' una protezione contro XSS ...

    Inoltre gestito come plugin e' piu' flessibile e aggiornabile continuamente.
  • Siamo su scherzi a parte spero...
    non+autenticato
  • ha ragione, di certo non faranno uscire una nuova versione di firefox ogni volta che e' necessario aggiornare i filtri antixss, cosa che invece puo' accadere con noscript, percio' chi usera' il plugin sara' quasi sicuramente piu' aggiornato
    non+autenticato
  • forse non hai ben compreso il problema
    non+autenticato
  • Vedi che siamo nel web 2.0.
    Dove ogni sito è al 90% javascript, ajax(oggi non lo sono tutti ma tra qualche anno sarà cosi) quando vai a mettere noscript e li blocchi, non proteggi ma blocchi perchè è questo che fà noscript e non hai risolto nulla.
    non+autenticato
  • Direi che sei fuori strada.

    Innanzitutto devi considerare quanto sono attendibili i siti che visiti, per esempio se usi le mappe di google puoi anche abilitare gli script, mentre se vai sul solito sito warez ucraino gli script è bene disabilitarli.

    Secondo:
    Noscript non è pensato per rendere maggiormente fruibili i siti che visiti, ma per rendere sicura la navigazione in siti sconosciuti o non certificati.
    Se hai una lista di siti "sicuri", il blocco degli script è superfluo, viceversa se navigi cercando informazioni o altro il blocco degli script ti aiuta a capire quali porcherie si affollano su di una pagina.

    Come nota finale, aggiungerei che è possibile risalire al codice dello script (a mano oppure istallando qualche estensione) e quindi fruire del sito in ogni caso senza prendersi eventuali porcherie.
    non+autenticato
  • Te navighi veramente così? E magari usi linux...
    non+autenticato
  • Probabilmente non sai neanche di cosa stai parlando, perche' chiunque l'abbia mai usato sa benissimo che ti fa decidere lui cosa eseguire e cosa non eseguire con facilita'. Puoi scegliere di farlo permanentemente o temporaneamente, eseguire quello script e non quell'altro all'interno dello stesso sito.

    Ma tanto qua il lettore medio ha quindici anni e crede di essere Dio in terra e di poter offendere tutti.