Компания Mozilla представила тестовую сборку браузера Firefox под номером 3.7. Одним из нововведений, которые ожидают пользователей новой версии, является технология защиты, позволяющая, как заявляют ее разработчики, блокировать большинство веб-атак.
Новая технология получила название Content Security Policy (CSP) и предназначена для разработчиков веб-сайтов и приложений. Она позволяет им самостоятельно определять какой контент на сайте или в веб-приложении является разрешенным. Это дает возможность блокировать скрипты либо вредоносный код, используемый хакерами для своих атак. В частности, блокируются сетевые атаки, идущие через межсайтовый скроллинг (XSS).
По словам Брэндона Стерна (Brandon Sterne), являющегося менеджером программы безопасности Mozilla, технология CSP напоминает по своему действию функцию защиты, реализованную в расширении NoScript для браузера Firefox. Этот популярное дополнение позволяет блокировать плагины JavaScript, Java, Flash и другие, которые часто используются злоумышленниками для хакерских атак.
Основное отличие между двумя этими механизмами защиты заключается в том, что технология CSP позволяет сайту самостоятельно определять политику поведения. При этом с помощью новой технологии можно защитить свой сайт или приложение не только от атак через межсайтовый скроллинг, но и от других хакерских хитростей, включая так называемый клик-джакинг и мониторинг пакетов. |