Mozilla forgia uno scudo antiXSS

Inserito all'interno di alcune versioni preliminari di Firefox, promette di difendere l'utente dagli attacchi Cross-Site Scripting, frequentemente usati per rubare dati sensibili e disseminare virus

Roma – Talvolta l’uso di un firewall e di un buon antivirus non è sufficiente a proteggere i PC dalle minacce che provengono da Internet, soprattutto quando queste minacce prendono di mira le debolezze presenti sui siti web: in questi casi le protezioni più efficaci sono quelle offerte dal browser. È per tale ragione che Mozilla sta lavorando all’implementazione, in Firefox, della specifica Content Security Policy (CSP), un framework studiato per proteggere i siti – e di conseguenza anche gli utenti finali – dai famigerati attacchi Cross-Site Scripting ( XSS ).

Stilata lo scorso anno, la specifica CSP è appena entrata a far parte di alcune build preliminari di Firefox, e la sua efficacia può essere messa alla prova con i test pubblicati in questa pagina .

CSP consente a webmaster e web designer di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web: ad esempio, gli amministratori di un sito possono restringere il tipo di script eseguiti sulle loro pagine e le fonti da cui questi provengono; nel caso più drastico, possono anche scegliere di disattivare del tutto l’esecuzione di codice JavaScript. Tali accorgimenti, secondo Mozilla, possono contribuire a ridurre in modo determinante il numero di attacchi XSS e Cross Site Request Forgery ( CSRF ) con cui i cracker tentano ogni giorno di sottrarre informazioni sensibili agli utenti o inoculare malware nei loro PC.

Brandon Sterne, security program manager di Mozilla, ha spiegato in questo post che il suo team ha trascorso gli ultimi mesi a tradurre la specifica CSP in codice. Tale codice è ora stato integrato in alcune versioni sperimentali di Firefox 3.7, così che sviluppatori, esperti di sicurezza e amministratori di server possano cominciare a testarlo e fornire il proprio feedback. Sterne avverte però che questa prima implementazione di CSP è ancora incompleta, e manca ad esempio del supporto agli HTTP redirect.

“Siamo entusiasti di aver ricevuto così tanti feedback positivi dagli altri vendor di browser, dagli amministratori di siti web e dai ricercatori di sicurezza, e siamo davvero orgogliosi del design scaturito da questo confronto”, ha commentato Sterne.

L’esperto di sicurezza di Mozilla non ha fornito alcuna stima sui tempi necessari a completare l’implementazione di CSP. L’ipotesi più plausibile è che tale tecnologia entrerà a far parte delle versioni pubbliche di Firefox entro il rilascio della futura release 4.0, il cui debutto è previsto tra circa un anno.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Jack scrive:
    Unica nota positiva
    Per ora il 99% di questi sistemi di controllo costa troppo per essere applicato su larga scala.... per ora.........
  • Bic Indolor scrive:
    Ma non fan prima coi telefonini?
    Come da oggetto.E se proprio vuoi esser paranoico butta il wireless e fatti una powerlan.
    • N.C. scrive:
      Re: Ma non fan prima coi telefonini?
      Non era come quella cosa che avevano fatto in batman per individuare Joker??
    • iRoby scrive:
      Re: Ma non fan prima coi telefonini?
      Io ce l'ho.Ora costano meno e c'è uno standard per cui puoi aggiungere apparati di marche diverse.È comodo ma ha qualche problema da dietro agli UPS.Spesso a casa si usa il wireless, ma oltre che poco sicuro perché decrittabile, ancora non si hanno prove certe sulla sua dannosità per la salute.Se i computer in casa non li usi in mobilità, mettere una presina power line è più comodo. Per esempio il mio router è connesso sia con wireless che con powerline. Il wireless inutilizzato genera solo qualche beacon (sarebbe l'ideale però un router con antenna escludibile; ce ne sono ma sono rari).E sia il server che il PC connesso al TV LCD grande vanno via powerline.Se uso il laptop sulla scrivania vicino al server preferisco tirare il cavo. Solo se lo uso in giro per casa o in giardino allora uso il Wifi.
  • Athenum scrive:
    a ppperò
    dovrò imparare la magia mirror reflex per difendermi da tutti sti guardoni XDDD
Chiudi i commenti