:

Szerző: Bizó Dániel

2009. június 25. 08:30

Letörné a cross-site scripting támadásokat a Mozilla

Erősen korlátozná, majd végül ellehetetlenítené az úgynevezett cross-site scripting támadásokat a Mozilla. A régóta formálódó elgondolás a webről letöltött tartalomra is biztonsági szabályokat alkalmazna, hasonlóan egy tűzfalrendszeréhez.

Az IBM idén februárban publikált 2008-as biztonsági jelentése szerint cross-site scripting (XSS) a második leggyakoribb webes támadási módszert jelentette tavaly, míg a megelőző években egyértelműen a legnépszerűbb volt a bűnözők körében, vagyis egy aktív online életet élő PC-felhasználó számára valószínűleg a legnagyobb fenyegetést jelentették az ilyen jellegű kockázatok. Kihasználva az elhanyagoltan konfigurált és résekkel teli webszerverek tömegét, a rosszindulatú kódot a weblapokba injektáló XSS veszélye, hogy olyan oldalakat is veszélyessé tehet, melyeket ismerünk, és melyekben látatlanban megbízunk.

Ennek akar véget vetni a Mozilla, mégpedig a tartalomra vonatkozó biztonsági szabályok bevezetésével. A mai net még mindig az eredetileg megbízható hosztokból felépülő ARPANET-et és a CERN tudósainak információmegosztását támogató mikrowebet alapul véve kidolgozott protokollokra épít, melyek tervezésekor nem volt szempont az autentikáció és biztonság. Ebből fakadóan a weben minden tartalom egyenértékű, a weblapok tervezésében nem jelennek meg biztonsági szempontok, a böngészők pedig nem tesznek különbséget letöltött tartalmak közt, forrástól és a kód jellegétől függetlenül fogadnak mindent.

Ennek vetne véget a Mozilla, mégpedig a tartalmombiztonsági szabályrendszer (CSP, content security policy) bevezetésével. A cross site scripting támadások kivitelezését az teszi lehetővé, hogy minden tartalmat azonos, lényegében a legmagasabb jogosultsági szinten kezelik a böngészők. A CSP nem tesz mást, minthogy megmondja a böngészőnek, melyik kód legitim, és melyik nem az, így figyelmen kívül lehet hagyni ártó kódokat. Mindez önmagában nem elegendő, a CSP újfajta weblaptervezési megközelítést, architektúrát igényel. Ennek alapja, hogy a jövőben minden JavaScriptnek külső, megbízható forrásból kell betöltődnie, és tiltottak a beágyazott szkriptek.

A Firefox fejlesztői ugyanakkor tudatában vannak, hogy ez túlságosan drasztikus változás ahhoz, hogy gyorsan és tömegesen meg lehessen valósítani. Emiatt a a Mozilla számos eszközzel ruházta fel a CSP-t, hogy egy összetett szabályrendszerrel, felkészültségének függvényében tudja a tartalomszolgáltató beállítani a biztonsági szintet. Brandon Sterne, a Mozilla biztonságprogramjának menedzsere állítja, nem tudnak olyan weboldalról, melyre ne lehetne alkalmazni a CSP-t.

Mivel egy kizárólag kliensoldali tartalmi tűzfalon a legtöbb, ha nem az összes weblap fennakadna, ezért a Mozilla CSP-je szerveroldalról szabályozza az aktuális házirendet, vagyis elküldi a házirendet először a kliensnek, mely ez alapján fogadja. Mikor ellátogatunk egy weblapra, a böngésző betölti a szabályokat, majd ez alapján értékeli ki az oldal tartalmát, így például kizárólag a megengedett forrásokból tölt be képeket, médiát, szkriptet, CSS-t vagy kereteket. Hogy az XSS támadásokat hatékonyabban felderítsék az adminisztrátorok, megadhatnak riportokat fogadó erőforrást, mely XML-ben várja a meghatározott szabályokkal szembe kerülő incidensekről készült összefoglalót. További részletek a CSP lapján olvashatók.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról