Арганізацыя Mozilla прадставіла тэставую альфа-версію браўзэра Firefox 3.7, забяспечанага новай тэхналогіяй абароны ад вэба-нападаў.

Фреймворк Content Security Policy (CSP) абараняе ад межсайтового скриптинга (XSS). Акрамя таго, якія падтрымліваюць CSP браўзэры прадугледжваюць наяўнасць абароны ад зграй-джекинга і маніторынгу пакетаў.

Спецыфікацыя CSP апісвае структуру новага HTTP-загалоўка, у якім вэб-майстар паказвае, якія з сцэнараў дазволеныя для выканання ў рамках дамена і да якіх вонкавых рэсурсаў можа звяртацца код вэб-старонкі ў выпадку неабходнасці ўстаўкі элементаў (да прыкладу, банэраў або навінавых блокаў).

Азнаёміцца з магчымасцямі тэхналогіі CSP можна на адмысловай дэманстрацыйнай старонцы, якая прапануе 11 прыкладаў нападаў.

Па словах мэнэджара праграмы бяспекі Mozilla Брэндона Стерна (Brandon Sterne), рэалізацыя CSP вельмі падобная на тэхналогію абароны, прапанаваную ў рамках пашырэння NoScript.

Гэтая ўбудова блакуе выкананне кода JavaScript, Java і Flash, бо зламыснікі нярэдка звяртаюцца да гэтых тэхналогій. Асноўнае адрозненне ў тым, што CSP дазваляе вызначыць самастойную палітыку паводзін вэб-рэсурсу.

Mozilla запрашае вэб-распрацоўнікаў і адмыслоўцаў у вобласці бяспекі да грунтоўнага тэставання новай тэхналогіі.

рэкамендуем прачытаць таксама

• Mozilla прадставіла Firefox 3.7 з абаронай ад вэба-нападаў
• Firefox зможа апрацоўваць код JavaScript у сем разоў хутчэй
• Першая ўразлівасць нулявога дня ў Mozilla Firefox
• Выйшла бэта-версія браўзэра Firefox 3.1
• Выйшла другая бэта-версія Firefox 3.1

Каментаванне не дазволенае.