A cross-site-scripting (XSS) támadások elleni védekezésre kifejlesztett tartalombiztonsági technológia, a CSP (content security policy) hamarosan integráns részét képezheti a Firefox böngészőnek, azonban még mielőtt a Mozilla védelmi mechanizmusa ténylegesen beépülne a szoftver kódjába, körültekintő tesztelésnek kell alávetni – ebben kér most segítséget a cég IT-szakemberektől. A vállalat reméli, egyszer s mindenkorra leszámolhat az egyik legnagyobb webes fenyegetettséget jelentő támadási metódussal, ennek érdekében pedig már hónapok óta foltozgatja CSP-megoldását. Brandon Sterne, a Mozilla programmenedzsere blogbejegyzésében elégedetten nyugtázta a korai, zárt ajtók mögött folytatott tesztekre érkezett pozitív visszajelzéseket, ugyanakkor figyelmeztet arra, hogy az implementáció még korántsem készült el, például a HTTP-átirányításokat jelenleg még nem kezeli a CSP, azonban „rövidesen” megoldják a kérdést.
Az XSS-alapú támadások azért működnek, mert a böngészőalkalmazások minden tartalmat azonos szintű jogosultsággal kezelnek. A CSP egy olyan mechanizmust nyújt az oldalak számára, melynek segítségével informálhatják a böngészőt arról, melyik tartalom tiszta és melyik veszélyes – így a szoftver képes figyelmen kívül hagyni a potenciálisan kártékony kódokat. Mindez kétségkívül jól hangzik, de a védelemhez korántsem elegendő: a legitim és illegitim tartalmak megfelelő megkülönbözetéséhez ugyanis a CSP például megköveteli, hogy minden JavaScript külső, megbízható forrásból töltődjön be. Ez a jelenlegi webes környezetben komoly problémát jelent, hiszen a Mozilla elképzelése csak egy olyan felületen működik, melyet eleve ebben a szisztémában alakítottak ki a múltban. A cég ezért már korábban is hangsúlyozta, hogy a CSP szakaszosan, fázisokra bontva is implementálható, illetve módosításokkal komplex oldalak is képesek támogatni a technológiát.
Tesztelhető a Mozilla új biztonsági technológiája
- Írta: Ifj. Zettner Tamás
- Forrás: IT café
- Kapcsolódó cégek:
- Mozilla
Azóta történt
-
Frissítve: Microsoft-kiegészítőket tilt(ott) a Firefox
A még mindig meglévő biztonsági kockázat miatt blokkoltak egy plug-int és egy add-ont.
Biztonság 80
-
Raindrop: a Google Wave vetélytársa?
A Mozilla is belevágott egy webes, egyesített kommunikációs alkalmazás kifejlesztésébe, de jelenleg még csak a prototípus van készen.
Tech 18
-
Letölthető a SeaMonkey 2.0
A Mozilla megújított internetes szoftvercsomagja magyar nyelven is elérhető.
Szoftver 18
-
Három kritikus hibát javítottak a Firefoxban
A biztonsági problémákat kezelő patchek mellett stabilitási szoftverfrissítések is érkeztek.
Szoftver 0
Előzmények
-
A Mozilla elnöke is ellenzi a Google Chrome Frame-et
Mitchell Baker szerint nagyon rossz döntést hoztak a Google-nál, mivel nem megoldani fogják a gondokat, hanem szaporítani őket.
Tech 86
-
A Firefox-felhasználók nem akarnak Flasht frissíteni
A Mozilla kezdeményezése egyszerre siker és kudarc: a felhasználók többsége ugyan nem törődik a böngésző figyelmeztetésével, de idővel beérhet a kezdeményezés.
Szoftver 50
-
Megérkezett a SeaMonkey 2.0 második bétája
Az internetes szoftvercsomag végleges változatára még egy hónapot biztosan várni kell.
Szoftver 5
-
A Firefox 4 külsőre olyan lesz, mint a Chrome
A Mozilla közzétette frissítési ütemtervének legújabb változatát, melyben 2010 végéig három nagy kiadás szerepel.
Szoftver 107
Percről percre
gp Ki gondolta volna, hogy az élet és halál közti rés ennyire élvezetes lehet? Igaz, szín nem sok fért ebbe a birodalomba, de a Hauntii hangulatával, harcaival és apró fejtörőivel is képes elvarázsolni.
gp A Ubisoft évek óta készül arra, hogy belépjen a gyors iramú hero shooterek piacára is: sok félbehagyott rivális és megannyi halasztás után megjelent végre a fura nevű xDefiant.
ph Fekete ventilátorokkal, visszafogott világítással, de LCD kijelzővel érkezik a gyártó új topmodellje.
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Ozeki Kft.
Város: Debrecen
- Google Pixel 6/7/8 topik
- Synology NAS
- Windows 10
- Milyen okostelefont vegyek?
- Redmi Note 13 Pro+ - a fejlődés íve
- Path of Exile (ARPG)
- Óra topik
- Wuthering Waves
- Intel Core i3 / i5 / i7 8xxx "Coffee Lake" és i5 / i7 / i9 9xxx “Coffee Lake Refresh” (LGA1151)
- Számtech boltosok memoárjai, azaz amikor kiborulunk...
- További aktív témák...