Firefox will Web-Sicherheit maßgeblich verbessern

23. Juni 2009, 15:08
13 Postings

Content Security Policy soll künftig Cross-Site-Scripting-Angriffe aushebeln - Verschlüsselte Seiten sollen künftig vorgezogen werden

Seit Jahren gehören sie zu den gebräuchlichsten Attacken im Internet: Per Cross-Site-Scripting (XSS) wird fehlerhaften Web-Anwendungen vermeintlich legitimer Javascript-Code untergejubelt, um Sicherheitskontrollen auszutricksen und Schadroutinen einzuschmuggeln.

Ansätze

Angesichts der Häufigkeit solcher Fehler in Web-Anwendungen versuchen sich die Softwarehersteller zunehmen an generelleren Lösungen für solche Szenarien. Einen entsprechenden Ansatz hat nun das Mozilla-Projekt in seinem Sicherheits-Blog präsentiert.

Policy

So soll mit Hilfe der neuen "Content Security Policy" die Ausführung von solchen Attacken schon im Ansatz unterbunden werden. Zu diesem Zweck können Webseiten-BetreiberInnen eine Whitelist mit jenen Domains erstellen, von denen aus Skripte ausgeführt werden dürfen. Alle anderen Domains werden in Folge als nicht vertrauenswürdig angenommen und die zugehörigen Skripte geblockt. Für jene Seiten, die ganz ohne Skripte auskommen, gibt es zusätzlich die Möglichkeit, die Ausführung von entsprechendem Code vollständig zu unterbinden.

Kompatibilität

Die CSP soll rückwartskompatibel sein, hat eine Webseite keine entsprechenden Regeln implementiert, fällt der Browser auf die gewohnte Same Origin Policy zurück - muss aber eben auch ohne die zusätzliche Sicherheit auskommen. Umgekehrt werden die zusätzlichen Header von Browsern ohne CSP-Support einfach ignoriert.

Verschlüsselung

Die neue Policy soll aber noch zwei weitere zentrale Verbesserungen bieten: Ist bei einer Webseite der Zugriff wahlweise mit oder ohne SSL möglich, soll der Firefox künftig die verschlüsselte Seite bevorzugen. Außerdem hat man einige Maßnahmen gegen Clickjacking-Attacken aufgenommen. (apo)

  • Bild nicht mehr verfügbar
Share if you care.