Cross-site scripting (XSS) is al jaren de meest voorkomende kwetsbaarheid in websites, reden genoeg voor de Mozilla stichting om een technologie te ontwikkelen die het probleem aanpakt. De opensource ontwikkelaar is het laatste jaar al bezig met de Content Security Policy (CSP), die ervoor zorgt dat sites de browser kunnen vertellen welke content legitiem is. De browser kan dan alle content die niet de goedkeuring van de site heeft, negeren. De eigenaar van een website kan via CSP bepalen vanaf welke domeinen scripts zijn toegestaan. De browser zal vervolgens alleen de scripts van de toegestane websites uitvoeren, die in een whitelist worden bijgehouden.
Om legitieme content van andere geïnjecteerde of aangepaste content te herkennen, vereist CSP dat alle JavaScript voor een pagina uit een extern bestand wordt geladen en van een goedgekeurde host afkomstig is. Dit betekent dat alle inline script, JavaScript en event-handling HTML attributen worden genegeerd. Alleen scripts die via een script-tag zijn toegevoegd en verwijzen naar een gewhiteliste host zal de browser uitvoeren. "We beseffen dat dit model drastisch verschilt van het huidige vrije model voor het web", zegt Brandon Sterne, Mozilla's Security Program Manager. De ontwikkelaar hoopt de uitrol van CSP in fasen door te voeren, waarbij er later dit jaar van een "volledige implementatie" sprake is.
Lastiger
Volgens Sterne hebben XSS-kwetsbaarheden echte waarde voor aanvallers en worden die vaak snel via het internet uitgewisseld zodra ze bekend zijn. "Websites kunnen weer iets rustiger ademen als ze weten dat hun gebruikers beschermd zijn, zelfs als een XSS-bug er doorheen slipt." CSP is namelijk zo in te stellen dat het de beschermde website informeert als er een aanval plaatsvindt. Daarnaast profiteren zelfs gebruikers met een oude browser ervan. "Het komt erop neer dat het extreem lastig is om een XSS-aanval tegen een website met CSP uit te voeren. Alle bekende vectoren voor het injecteren van scripts zullen niet meer werken en de lat voor het uitvoeren van een succesvolle aanval wordt veel, veel hoger gelegd."
Deze posting is gelocked. Reageren is niet meer mogelijk.