Ny teknikk mot XSS-angrep
Mozilla driver nå med utvikling av ny teknologi som skal løse en spesiell type sikkehetsproblem som mange nettlesere sliter med, nemlig cross-site scripting (XSS).
XSS-angrep er en teknikk som angripere bruker til å manipulere nettsider. Slike angrep brukes gjerne i såkalte phishing-forsøk hvor brukerne er forsøkt lurt til å tro at en manipulert side er ekte.
Prosjektet har fått navnet Content Security Policy og målet er å fortelle nettleseren hvilke nettsider som er legitime. Teknologien skal også kunne beskytte brukeren mot clickjacking,en teknikk som angripere bruker til å prøve å lure surfere til å oppgi sensitiv informasjon via eksempelvis en falsk knapp på en nettside.
Tanken med det nye sikkerhetsprosjektet er at webadministratoren skal spesifisere hvilke domener som nettleseren skal anse som en godkjent kilde for et aktuelt script. Meningen er at nettleseren skal kjøre script kun fra godkjente domener.
Les mer om prosjektet på wiki.mozilla.org og mozilla.com.
(Kilde: Zdnet)
