Firefox streeft ernaar scriptaanvallen te ontkoppelen

Sites die afhankelijk zijn van door gebruikers gemaakte inhoud kunnen onbewust worden gebruikt om hun eigen gebruikers aan te vallen via JavaScript en andere veelvoorkomende vormen van webcode. Dit beveiligingsprobleem, ook wel cross-site scripting (XSS) genoemd, kan een aanvaller bijvoorbeeld toegang geven tot het account van een slachtoffer en persoonlijke gegevens stelen.





Patsy-aanval: een aanvaller (weergegeven in rood) kan cross-site scripting gebruiken om de computer van een gebruiker (links) te dwingen een ander systeem aan te vallen (midden), gewoon door een schijnbaar onschuldige website te bezoeken (boven).

Nu de makers van de Firefox-webbrowser plan om een ​​strategie aan te nemen om de aanvallen te helpen blokkeren. De technologie, Content Security Policy (CSP) genaamd, laat de eigenaar van een website specificeren welke internetdomeinen de scripts mogen hosten die op de pagina's worden uitgevoerd.

In dit geval creëren ze geen nieuw technologisch alternatief voor HTML, noch beschermen ze de gebruiker tegen een bestaand probleem, zegt Eduardo Vela, een onafhankelijke beveiligingsonderzoeker die volgende maand zal praten over XSS-aanvallen op de Black Hat-beveiligingsconferentie in Las Vegas. Ze verwijderen eigenlijk de functies in HTML die deze problemen in de eerste plaats mogelijk maakten.



XSS-aanvallen hebben veel kopzorgen veroorzaakt, met name voor sociale netwerken en Web 2.0-bedrijven, waardoor aanvallers bijvoorbeeld eBay-veilingen konden kapen en een worm konden creëren die ervoor zorgde dat MySpace-gebruikers automatisch bevriend raakten met een gebruiker genaamd Samy. Het kernprobleem is dat veel sites niet-vertrouwde gebruikers toestaan ​​hun eigen inhoud aan pagina's toe te voegen, terwijl webbrowsers alle inhoud die door een website wordt geretourneerd, beschouwen als afkomstig van dezelfde entiteit. Als de website wordt vertrouwd, wordt ook de inhoud die door een onbekende gebruiker is gemaakt, vertrouwd. Het probleem is door het SANS Institute, een opleidingsorganisatie voor systeembeheerders en programmeurs, geteld als een van de 25 meest ernstige codeerproblemen.

In veel gevallen kunnen webbedrijven gevaarlijke, door gebruikers gemaakte inhoud opsporen en beperken. Maar omdat veel sites zo groot zijn, is het vinden en oplossen van alle kwetsbaarheden een tijdrovende en moeilijke taak. Bovendien willen veel sites, met name die voor sociale netwerken, hun gebruikers wat speelruimte geven om interessante inhoud te creëren.

Mozilla's CSP zal breken met de traditie van webbrowsers om alle scripts op dezelfde manier te behandelen. In plaats daarvan zal het vereisen dat deelnemende websites hun scripts in aparte bestanden plaatsen en expliciet aangeven welke domeinen de scripts mogen uitvoeren.



De Mozilla Foundation, die de Firefox-browser maakt, heeft voor de implementatie gekozen omdat het sites de mogelijkheid geeft om te kiezen of ze de beperkingen willen toepassen. De ernst van het XSS-probleem in het wild en de kosten van het implementeren van CSP als een beperking staan ​​open voor interpretatie door individuele sites, schreef Brandon Sterne, beveiligingsprogrammamanager voor Mozilla. op Mozilla Security Blog . Als de kosten versus de baten voor een site niet kloppen, staat het ze vrij om gewoon door te gaan.

De nieuwe beveiligingsmaatregel is gebaseerd op suggesties van webbeveiligingsspecialist Robert Hansen in 2005. De onderzoeker had verschillende soorten webaanvallen bestudeerd en kwam op een interessant idee: websites toestaan ​​het beveiligingsniveau van de browser van de gebruiker te wijzigen.

Hansen draaide het idee om en bedacht in plaats daarvan een model dat hij Content Restrictions noemde. Het model zou niet, als je me vertrouwt, alle beveiliging moeten uitschakelen; het model zou moeten zijn, vertrouw me om je te vertellen me niet te vertrouwen, zegt Hansen, die nu CEO is van webbeveiligingsadviesbureau SecTheory. Als ik weet dat een pagina slecht is, dan zou ik je moeten kunnen vertellen dat de pagina slecht is.



Een ingenieur bij de Mozilla Foundation, Gervase Markham, verdedigde het idee binnen het Firefox-team en ontwikkelde de technologie verder, en merkte op dat webbeveiligingsonderzoeker Jeremiah Grossman publiekelijk opriep tot adoptie van de techniek. Vier jaar later heeft Mozilla zich ertoe verbonden de technologie te implementeren.

De nieuwe beveiligingsfunctie van Firefox zou kunnen helpen een andere vorm van aanval te blokkeren, bekend als clickjacking, waarmee een aanvaller een gebruiker kan misleiden om op een onveilige knop te klikken, bijvoorbeeld door een bankoverschrijving te starten wanneer ze denkt dat ze een e-mail verzendt. Clickjacking is echter een probleem dat zo wijdverbreid is dat een opt-in-model echt niet werkt, zegt Hansen.

Niet iedereen is het erover eens dat dergelijke inhoudsbeperkingen de juiste keuze zijn. Microsoft heeft een cross-site scriptingfilter gemaakt in Internet Explorer 8 dat voorkomt dat mogelijke aanvallen de browser van het slachtoffer bereiken. Het bedrijf heeft ook een nieuwe functie geïntroduceerd, genaamd X-FRAME-OPTIONS, in Internet Explorer 8, die door sites kan worden ingeschakeld om het gebruik van scripts in iframes te beperken - een truc die door aanvallers wordt gebruikt om code onzichtbaar uit te voeren.



Dergelijke inspanningen, en de moeilijkheid om CSP op te nemen in de webarchitectuur van de softwaregigant, .NET, maken het waarschijnlijk dat Mozilla's CSP niet zal worden overgenomen door andere browsermakers, betoogt Vela, die van plan is zijn eigen oplossing te presenteren op Black Hat. Ik denk oprecht niet dat het grotendeels zal worden overgenomen, zegt hij, vooral omdat het zo ingewikkeld is.

Mozilla, dat weigerde commentaar te geven buiten de blogpost, zal de technologie waarschijnlijk binnen 6 tot 12 maanden klaar hebben om in Firefox te integreren, zegt Hansen. De volgende stap is om ervoor te zorgen dat eBay en MySpace het oppakken en zeggen: 'Hé, dit is geweldig', zegt de onderzoeker.

zich verstoppen