Firefox yrittää turvaläpimurtoa – web-iskut kuriin
1
Rikolliset hyökkäävät nykyään tietokoneille pääasiassa nettisivujen kautta. Firefoxin kehittäjät yrittävät saada hyökkäykset kuriin uudella kekseliäällä turvatekniikalla. Se estäisi varsinkin pahamaineiset xss-hyökkäykset. Tämän onnistuminen olisi erinomainen parannus koko internetin turvaan, mutta apua tarvitaan nettisivujen tekijöiltä.
Mozilla kertoo, että se on saanut valmiiksi ensimmäiset testiversiot uudesta Content Security Policy -tekniikasta. Se tuodaan Firefoxin tuleviin versioihin.
Pääasiallinen tavoite on estää xss-hyökkäykset (cross site scripting), joista on tullut rikollisten tärkeä työkalu. Xss-hyökkäyksessä rikolliset saavat ujutettua nettisivuille koodia, joka ohjaa käyttäjän hakemaan sisältöä suoraan rikollisten palvelimilta. Käyttäjä luulee vain katsovansa tuttua nettisivua, mutta samalla selain lataa sisältöä aivan muualta.
Firefox estää hyökkäyksen toiminnan
Nettisisällön hakua muilta sivuilta ei voi estää, sillä sitä tarvitaan lukemattomiin hyödyllisiin tarkoituksiin. Content Security Policy -tekniikalla sivujen välinen yhteistyö saadaan kuitenkin hallintaan.
Idea on se, että nettisivun ylläpitäjä laittaa sivuille csp-asetuksen, jossa määritellään miltä sivuilta sisältöä saa hakea. Firefox lukee asetuksen ja kieltäytyy lataamasta sisältöä muista nettipalveluista. Vaikka rikolliset saisivat ujutettua sivuille xss-hyökkäyksen, ei Firefox päästä käyttäjiä rikollisten sivuille.
Samalla periaatteella voidaan estää myös esimerkiksi clickjacking-hyökkäyksiä, joissa käyttäjiä huijataan klikkaamaan nettilinkkejä.
