Firefox mērķis ir atvienot skriptu uzbrukumus

Vietnes, kuru pamatā ir lietotāju izveidots saturs, var netīši tikt izmantotas, lai uzbruktu saviem lietotājiem, izmantojot JavaScript un citus izplatītus tīmekļa koda veidus. Šī drošības problēma, kas pazīstama kā starpvietņu skriptēšana (XSS), var, piemēram, ļaut uzbrucējam piekļūt upura kontam un nozagt personas datus.





Neskaidrs uzbrukums: uzbrucējs (parādīts sarkanā krāsā) var izmantot starpvietņu skriptus, lai piespiestu lietotāja datoru (pa kreisi) uzbrukt citai sistēmai (vidū), vienkārši apmeklējot šķietami nevainīgu vietni (augšpusē).

Tagad veidotāji Firefox tīmekļa pārlūkprogramma plāno pieņemt stratēģiju, lai palīdzētu bloķēt uzbrukumus. Tehnoloģija, ko sauc par satura drošības politiku (CSP), ļaus vietnes īpašniekam norādīt, kuros interneta domēnos ir atļauts mitināt skriptus, kas darbojas tās lapās.

Šajā gadījumā viņi nerada jaunu tehnoloģiju alternatīvu HTML, nedz arī aizsargā lietotāju pret esošu problēmu, saka Eduardo Vela, neatkarīgs drošības pētnieks, kurš runās par XSS uzbrukumiem nākamā mēneša Black Hat drošības konferencē Lasvegasā. Viņi faktiski noņem HTML līdzekļus, kas vispirms atļāva šīs problēmas.



XSS uzbrukumi ir radījuši daudzas galvassāpes, jo īpaši sociālajiem tīkliem un Web 2.0 uzņēmumiem, ļaujot uzbrucējiem, piemēram, nolaupīt eBay izsoles un izveidot tārpu, kas lika MySpace lietotājiem automātiski sadraudzēties ar lietotāju vārdā Samijs. Galvenā problēma ir tā, ka daudzas vietnes ļauj neuzticamiem lietotājiem pievienot lapām savu saturu, savukārt tīmekļa pārlūkprogrammas visu vietnes atgriezto saturu uzskata par tādu, kas nāk no vienas un tās pašas entītijas. Ja vietne ir uzticama, uzticams ir arī nezināma lietotāja veidotais saturs. Sistēmu administratoru un programmētāju apmācības organizācija SANS institūts šo problēmu ir ieskaitījis kā vienu no 25 nopietnākajām kodēšanas problēmām.

Daudzos gadījumos tīmekļa uzņēmumi var meklēt un ierobežot bīstamu lietotāju veidotu saturu. Taču, tā kā daudzas vietnes ir tik lielas, visu ievainojamību atrašana un novēršana ir laikietilpīgs un grūts uzdevums. Turklāt daudzas vietnes, jo īpaši sociālo tīklu vietnes, vēlas saviem lietotājiem ļaut izveidot interesantu saturu.

Mozilla CSP pārtrauks tīmekļa pārlūkprogrammu tradīciju apstrādāt visus skriptus vienādi. Tā vietā iesaistītajām vietnēm būs jāievieto savi skripti atsevišķos failos un skaidri jānorāda, kuros domēnos ir atļauts palaist skriptus.



Mozilla Foundation, kas ražo pārlūkprogrammu Firefox, izvēlējās ieviešanu, jo tas ļauj vietnēm izvēlēties, vai pieņemt ierobežojumus. XSS problēmas nopietnība savvaļā un izmaksas, kas saistītas ar CSP ieviešanu kā mazināšanu, ir pieejamas atsevišķām vietnēm, raksta Brendons Stērns, Mozilla drošības programmu vadītājs. Mozilla drošības emuārā . Ja kādai vietnei nav jēgas izmaksu un ieguvumu attiecībai, viņi var turpināt darbību kā parasti.

Jaunais drošības pasākums ir balstīts uz tīmekļa drošības speciālista Roberta Hansena ieteikumiem tālajā 2005. gadā. Pētnieks bija pētījis dažādu veidu tīmekļa uzbrukumus un atklājis interesantu ideju: ļaut vietnēm mainīt lietotāja pārlūkprogrammas drošības līmeni.

Hansens šo ideju apgrieza ar galvu un tā vietā nāca klajā ar modeli, ko viņš nosauca par satura ierobežojumiem. Ja jūs man uzticaties, modelim nevajadzētu atspējot visu drošību; modelim vajadzētu būt, ticiet man, lai pateiktu, ka neuzticieties man, saka Hansens, kurš tagad ir tīmekļa drošības konsultāciju uzņēmuma SecTheory izpilddirektors. Ja es zinu, ka lapa ir slikta, tad man vajadzētu būt iespējai pateikt, ka lapa ir slikta.



Mozilla fonda inženieris Gervase Markham aizstāvēja šo ideju Firefox komandā un turpināja attīstīt tehnoloģiju, kā arī atzīmēja, ka tīmekļa drošības pētnieks Džeremijs Grosmans publiski aicināja pieņemt šo tehniku. Pēc četriem gadiem Mozilla ir apņēmusies ieviest šo tehnoloģiju.

Jaunais Firefox drošības līdzeklis varētu palīdzēt bloķēt citu uzbrukuma veidu, kas pazīstams kā klikšķu uzlaupīšana, kas ļauj uzbrucējam maldināt lietotāju noklikšķināt uz nedrošas pogas, piemēram, iniciējot bankas pārvedumu, ja viņš uzskata, ka sūta e-pastu. Tomēr klikšķu uzlaupīšana ir tik izplatīta problēma, ka izvēles modelis patiešām nedarbojas, saka Hansens.

Ne visi piekrīt, ka šādi satura ierobežojumi ir pareizais ceļš. Korporācija Microsoft ir izveidojusi starpvietņu skriptu filtru pārlūkprogrammā Internet Explorer 8, kas bloķē iespējamo uzbrukumu nokļūšanu upura pārlūkprogrammā. Uzņēmums pārlūkprogrammā Internet Explorer 8 ir arī ieviesis jaunu līdzekli, ko sauc par X-FRAME-OPTIONS, ko vietnes var iekļaut, lai ierobežotu skriptu izmantošanu iframe — uzbrucēju triks, lai palaistu kodu neredzamā veidā.



Šādi centieni un grūtības iekļaut CSP programmatūras giganta tīmekļa arhitektūrā .NET liek domāt, ka Mozilla CSP nepieņems citi pārlūkprogrammu ražotāji, apgalvo Vela, kurš plāno prezentēt savu risinājumu Black Hat. Es patiesi nedomāju, ka tas tiks lielā mērā pieņemts, viņš saka, galvenokārt tāpēc, ka tas ir tik sarežģīti.

Mozilla, kas atteicās sniegt komentārus ārpus emuāra publicēšanas, visticamāk, tehnoloģija būs gatava iekļaušanai Firefox 6 līdz 12 mēnešu laikā, saka Hansens. Nākamais solis ir panākt, lai eBay un MySpace to paņemtu un pateiktu: “Hei, tas ir lieliski,” saka pētnieks.

paslēpties