Het plan van Mozilla om het internet tegen Cross-Site Scripting-aanvallen (XSS) te beschermen, is ook bij Microsoft in goede aarde gevallen. De opensource-ontwikkelaar werkt op dit moment aan de Content Security Policy (CSP), die ervoor zorgt dat sites de browser kunnen vertellen welke content legitiem is. Volgens Eric Lawrence van het Internet Explorer team, heeft deze aanpak verschillende voordelen. Zo vermindert het compatibiliteitsrisico's, hoeven browsers niet meer de bedoeling van de website te raden en komt het ook de bruikbaarheid ten goede. Als een site een security policy heeft, kan de browser sommige security beslissingen voor de gebruiker maken. Als laatste voordeel noemt Lawrence de mogelijkheid om tools te bouwen die de policies en websites kunnen auditen.
Toch ziet de Senior Program Manager de nodige beren op de weg. Plugins, misconfiguraties en dynamische content zijn allemaal zaken waar rekening mee moet worden gehouden. Het grootste probleem is echter de uitrol en implementatie van CSP. Standaard staat de beveiliging namelijk uit. "Dit is mooi voor comptabiliteit, maar niet voor het beschermen van websites en gebruikers, omdat de voordelen er alleen maar komen als de webontwikkelaar zijn site update."
Daarnaast is geen enkele technologie een wondermiddel, aldus Lawrence. Hij vindt dat browsers ook APIs moeten aanbieden waarmee sites XSS-aanvallen kunnen voorkomen en automatische beveiliging om sites te beschermen die hun code niet updaten. "Ik kijk vol verwachting naar de voortgang van CSP, wat volgens mij een veelbelovende aanpak is om websites tegen het groeiend aantal webdreigingen te beschermen."
Deze posting is gelocked. Reageren is niet meer mogelijk.