image

Twitter beschermt Firefox-gebruikers tegen XSS

woensdag 23 maart 2011, 17:19 door Redactie, 2 reacties

Twitter heeft beveiligingsmaatregelen op de mobiele versie van het platform geïnstalleerd die Firefox 4-gebruikers tegen cross-site scripting (XSS) beschermen. Firefox 4 ondersteunt Content Security Policy (CSP), maar dit moet door websites wel worden ingeschakeld. Twitter heeft dit nu gedaan voor mobile.twitter.com. De microbloggingdienst erkent dat de mobiele versie minder bezoekers krijgt, maar dat het daarom ideaal als testplatform is.

XSS-aanvallen misbruiken het vertrouwen van de browser dat het in van de server afkomstige content heeft. Zodoende worden kwaadaardige scripts in de browser van het slachtoffer uitgevoerd, omdat die de aanbieder van de content vertrouwt, ook al is die niet afkomstig van de plek waar het vandaan lijkt te komen. Via CSP kunnen beheerders de domeinen opgeven die de browser als geldige aanbieder moet beschouwen voor het uitvoeren van scripts. Een browser die CSP ondersteunt zal dan alleen nog maar bestanden uitvoeren die afkomstig zijn van domeinen op de whistelist en alle andere scripts negeren.

De komende maanden is Twitter van plan om CSP bij meerdere onderdelen van het platform uit te rollen. Daarbij adviseert het gebruikers om een verzoek bij de leverancier van de gebruikte browser in te dienen om ook CSP te ondersteunen.

Reacties (2)
23-03-2011, 17:41 door Anoniem
Is er ook een mogelijkheid om ff tegen twitter te beschermen?
24-03-2011, 09:41 door Anoniem
Het is toch niet de schuld van Mozilla dat Twitter XSS content heeft?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.