Erste Firefox-Demo für Content Security Policy
CSP soll Abhilfe gegen Cross-Site-Scripting-Attacken (XSS) bringen. Ein spezieller Preview-Build von Firefox unterstützt diese Funktion und lässt sich auf einer Demo-Seite testen.
- Daniel Bachfeld
Die Mozilla Foundation hat eine erste Demo ihres neues Sicherheitskonzepts Content Security Policy (CSP) vorgestellt. CSP soll Abhilfe gegen Cross-Site-Scripting-Attacken (XSS) bringen.
Mit CSP können Web-Administratoren dem Browser durch Senden eines speziellen Headers (X-Content-Security-Policy: allow 'self';) mitteilen, welche Domains er als Quelle vertrauenswürdigen Codes akzeptieren soll. Herkömmliche XSS-Attacken machen sich unter anderem Lücken in Webanwendungen zunutze, um JavaScript im Kontext vertrauter Domains im Browser auszuführen.
Bei CSP soll der Browser nur Skripte ausführen, die aus Domains stammen, die in einer Whitelist zusammengefasst sind – alles andere wird geblockt. So kann der Administrator etwa einen eigenständigen Skript-Server spezifizieren, von dem der Browser Skripte nachlädt und ausführt. Angreifer sollen so keine Skripte mehr in HTML-Dokumente einschleusen können.
CSP funktioniert nur in Zusammenspiel mit einem dafür vorbereiteten Browser. Dafür gibt es nun einen Preview-Build von Firefox, der diese Funktion unterstützt. Zwar sind noch nicht alle Spezifikationen in diese Version eingeflossen, für einen ersten Eindruck soll es jedoch ausreichen. Auf einer speziellen Demo-Seite kann man testen, ob und wie CSP funktioniert. Brandon Sterne, Security Program Manager bei Mozilla freut sich über eine rege Beteiligung an ersten Tests und Kommentaren dazu.
Siehe dazu auch
(dab)
