211service.com
Firefox syftar till att koppla bort skriptattacker
Webbplatser som förlitar sig på användarskapat innehåll kan omedvetet användas för att attackera sina egna användare via JavaScript och andra vanliga former av webbkod. Det här säkerhetsproblemet, känt som cross-site scripting (XSS), kan till exempel tillåta en angripare att komma åt ett offers konto och stjäla personlig information.

Patsy attack: En angripare (visas i rött) kan använda cross-site scripting för att tvinga en användares dator (vänster) att attackera ett annat system (mitten), bara genom att besöka en till synes oskyldig webbplats (överst).
Nu skaparna av Firefox webbläsare planerar att anta en strategi för att blockera attackerna. Tekniken, kallad Content Security Policy (CSP), kommer att låta en webbplatsägare specificera vilka Internetdomäner som får vara värd för skripten som körs på dess sidor.
I det här fallet skapar de inte ett nytt teknikalternativ till HTML, och skyddar inte heller användaren mot ett befintligt problem, säger Eduardo Vela, en oberoende säkerhetsforskare som kommer att prata om XSS-attacker vid nästa månads Black Hat-säkerhetskonferens i Las Vegas. De tar faktiskt bort funktionerna i HTML som möjliggjorde dessa problem i första hand.
XSS-attacker har orsakat många huvudvärk, särskilt för sociala nätverk och Web 2.0-företag, vilket gör att angripare till exempel kan kapa eBay-auktioner och skapa en mask som fick MySpace-användare att automatiskt bli vän med en användare som heter Samy. Kärnproblemet är att många webbplatser tillåter opålitliga användare att lägga till sitt eget innehåll på sidor medan webbläsare behandlar allt innehåll som returneras av en webbplats som att det kommer från samma enhet. Om webbplatsen är betrodd, är innehållet som skapats av en okänd användare också betrodd. Frågan har räknats som ett av de 25 allvarligaste kodningsproblemen av SANS Institute, en utbildningsorganisation för systemadministratörer och programmerare.
I många fall kan webbföretag jaga och begränsa farligt användarskapat innehåll. Men eftersom många sajter är så stora är det en tidskrävande och svår uppgift att hitta och åtgärda alla sårbarheter. Dessutom vill många sajter, särskilt de sociala nätverken, ge sina användare lite utrymme att skapa intressant innehåll.
Mozillas CSP kommer att bryta med webbläsares tradition att behandla alla skript på samma sätt. Istället kommer det att kräva att deltagande webbplatser lägger sina skript i separata filer och uttryckligen anger vilka domäner som får köra skripten.
Mozilla Foundation, som gör webbläsaren Firefox, valde implementeringen eftersom den tillåter webbplatser att välja om de ska anta begränsningarna. Allvarligheten av XSS-problemet i det vilda och kostnaderna för att implementera CSP som en begränsning är öppna för tolkning av enskilda webbplatser, skrev Brandon Sterne, säkerhetsprogramchef för Mozilla, på Mozilla Security Blog . Om kostnad kontra nytta inte är vettigt för någon webbplats, är de fria att fortsätta göra affärer som vanligt.
Den nya säkerhetsåtgärden är baserad på förslag från webbsäkerhetsspecialisten Robert Hansen redan 2005. Forskaren hade studerat olika typer av webbattacker och hade identifierat en intressant idé: att tillåta webbplatser att ändra säkerhetsnivån för användarens webbläsare.
Hansen vände på idén och kom istället på en modell som han kallade Content Restrictions. Modellen bör inte vara, om du litar på mig, inaktivera all säkerhet; modellen ska vara, lita på mig att säga till dig att inte lita på mig, säger Hansen, som nu är vd för webbsäkerhetskonsultföretaget SecTheory. Om jag vet att en sida är dålig bör jag kunna berätta att sidan är dålig.
En ingenjör vid Mozilla Foundation, Gervase Markham, förespråkade idén inom Firefox-teamet och vidareutvecklade tekniken, och noterade webbsäkerhetsforskaren Jeremiah Grossman offentligt uppmanade till att använda tekniken. Fyra år senare har Mozilla förbundit sig att implementera tekniken.
Den nya säkerhetsfunktionen i Firefox kan hjälpa till att blockera en annan form av attack, känd som clickjacking, som gör att en angripare kan lura en användare att klicka på en osäker knapp – till exempel initiera en banköverföring när hon tror att hon skickar ett e-postmeddelande. Men clickjacking är ett problem som är så genomgripande att en opt-in-modell verkligen inte fungerar, säger Hansen.
Alla håller inte med om att sådana innehållsbegränsningar är rätt väg att gå. Microsoft har skapat ett cross-site scripting-filter i Internet Explorer 8 som blockerar troliga attacker från att nå offrets webbläsare. Företaget har också introducerat en ny funktion, kallad X-FRAME-OPTIONS, i Internet Explorer 8, som kan utnyttjas av webbplatser för att begränsa användningen av skript i iframes – ett trick som angripare använder för att köra kod osynligt.
Sådana ansträngningar, och svårigheten att införliva CSP i mjukvarujättens webbarkitektur, .NET, gör det troligt att Mozillas CSP inte kommer att antas av andra webbläsartillverkare, hävdar Vela, som planerar att presentera sin egen lösning på Black Hat. Jag tror verkligen inte att det kommer att adopteras till stor del, säger han, mest för att det är så komplicerat.
Mozilla, som avböjde att kommentera utöver blogginlägget, kommer sannolikt att ha tekniken redo att införlivas i Firefox inom 6 till 12 månader, säger Hansen. Nästa steg är att få eBay och MySpace att plocka upp det och säga 'Hej, det här är bra', säger forskaren.