Mozilla прадставіла тэставую альфа-версію браузераFirefox 3.7, забяспечанага новай тэхналогіяй абароны ад вэба-нападаў.

Фреймворк Content Security Policy (CSP) абараняе ад межсайтового скриптинга (XSS). Акрамя таго, якія падтрымліваюць CSP браўзэры прадугледжваюць наяўнасць абароны ад зграй-джекинга і маніторынгу пакетаў.

Спецыфікацыя CSP апісвае структуру новага HTTP-загалоўка, у якім вэб-майстар паказвае, якія з сцэнараў дазволеныя для выканання ў рамках дамена і да якіх вонкавых рэсурсаў можа звяртацца код вэб-старонкі ў выпадку неабходнасці ўстаўкі элементаў (да прыкладу, банэраў або навінавых блокаў).

Азнаёміцца з магчымасцямі тэхналогіі CSP можна на адмысловай дэманстрацыйнай старонцы , якая прапануе 11 прыкладаў нападаў.

Па словах мэнэджара праграмы бяспекі Mozilla Брэндона Стерна (Brandon Sterne), рэалізацыя CSP вельмі падобная на тэхналогію абароны, прапанаваную ў рамках пашырэння NoScript.

Гэтая ўбудова блакуе выкананне кода JavaScript, Java і Flash, бо зламыснікі нярэдка звяртаюцца да гэтых тэхналогій. Асноўнае адрозненне ў тым, што CSP дазваляе вызначыць самастойную палітыку паводзін вэб-рэсурсу.

Mozilla запрашае вэб-распрацоўнікаў і адмыслоўцаў у вобласці бяспекі да грунтоўнага тэставання новай тэхналогіі.

рэкамендуем прачытаць таксама

• Mozilla Firefox 3.7 прапаноўвае новую тэхналогію абароны ад вэба-нападаў
• Firefox зможа апрацоўваць код JavaScript у сем разоў хутчэй
• Першая ўразлівасць нулявога дня ў Mozilla Firefox
• Выйшла бэта-версія браўзэра Firefox 3.1
• Выйшла другая бэта-версія Firefox 3.1

Каментаванне не дазволенае.