Firefox 3.5 is sinds dinsdag door zo'n 100.000 Nederlanders gedownload, maar beveiligingsexperts kijken nu al uit naar versie 3.6 die in 2010 moet verschijnen. Deze editie bevat namelijk het veel besproken Content Security Policy (CSP), die ervoor zorgt die dat sites de browser kunnen vertellen welke content legitiem is. De browser kan dan alle content die niet de goedkeuring van de site heeft negeren, waardoor cross-site scripting aanvallen tot het verleden behoren. Dit is nog altijd het meest voorkomende beveiligingsprobleem op het internet. Volgens de altijd goed geïnformeerde Robert Hansen gaat Mozilla CSP waarschijnlijk aan Firefox 3.6 toevoegen. De volgende grote versie van de opensource browser zou halverwege volgend jaar verschijnen.

Clickjacking
Hansen verwacht dat het nog een jaar zal duren voordat er een goede verdediging tegen XSS-aanvallen is op websites die toestaan dat gebruikers HTML en JavaScript plaatsen, zoals bij eBay, MySpace en vele andere sites het geval is. "De enige truc is om ervoor te zorgen dat de bedrijven die deze problemen hebben, projecten plannen om deze oplossing (CSP) te gebruiken zodra die beschikbaar komt."

De oplossing van Mozilla bevat ook wat bescherming tegen clickjacking, maar daar is Hansen minder van onder de indruk. "Net zoals Microsoft’s X-FRAME-OPTIONS header is het niet echt interessant, aangezien het een opt-in model is en clickjacking zoveel voorkomt als aanvalsvector." Opt-in beveiligingsmodellen werken volgens de onderzoeker alleen op sites die weten dat ze een probleem hebben. "Ik ben erg opgetogen over de toekomst van Content Security Policy, aangezien het surfen weer "leuk" en sites veilig kan maken, zelfs als JavaScript en Flash zijn ingeschakeld." Onlangs liet ook Microsoft weten achter het initiatief te staan. Het totale aantal downloads wereldwijd van Firefox 3.5 nadert de 7,5 miljoen.