News
05.10.2009, 10:55 Uhr
Firefox schützt vor XSS-Angriffen
Mozilla hat die Preview-Version einer neuen Firefox-Variante lanciert. Diese beinhaltet Contet Security Policy (CSP), mit der User vor Cross-Site-Scripting-Attacken (XSS) geschützt werden sollen.
Cross-Site-Scripting-Angriffe (XSS) und Cross Site Request Forgery (CSRF) gehören mit zu den verbreitetsten Attacken im Web. Nutzer können sich dagegen nur schwer wehren, da der Angriffscode auch in scheinbar legitime Seiten eingebettet sein kann. Unter dem Schlagwort Content Security Policy (CSP) haben die Firefox-Entwickler an einer Lösung gearbeitet. Eine erste Preview-Version steht nun zum Download bereit.
CSP erfordert die Unterstützung von Websitebetreibern. Diese können dem Browser mitteilen, welcher Code legitim ist. Dadurch erstellen sie eine Whitelist. Wird die Website manipuliert, erkennt Firefox den zusätzlichen Code, der allerdings nicht vom Seitenbetreiber signiert ist. Der Browser weigert sich, die entsprechenden Anweisungen auszuführen, die Attacke läuft ins Leere. Um die Technik zu demonstrieren, hat Mozilla eine Testseite aufgesetzt. Die Entwickler hoffen, dass CSP ein Webstandard wird.
CSP erfordert die Unterstützung von Websitebetreibern. Diese können dem Browser mitteilen, welcher Code legitim ist. Dadurch erstellen sie eine Whitelist. Wird die Website manipuliert, erkennt Firefox den zusätzlichen Code, der allerdings nicht vom Seitenbetreiber signiert ist. Der Browser weigert sich, die entsprechenden Anweisungen auszuführen, die Attacke läuft ins Leere. Um die Technik zu demonstrieren, hat Mozilla eine Testseite aufgesetzt. Die Entwickler hoffen, dass CSP ein Webstandard wird.
Kommentare
Es sind keine Kommentare vorhanden.