شماره: IRCNE200906251
مهندسان امنيتي موزيلا بر روي يك تكنولوژي جديد كار مي كنند كه قرار است گروه بزرگي از آسيب پذيري هاي برنامه هاي كاربردي مبتني بر وب را كاهش دهد مخصوصاً آسيب پذيري هاي مربوط به Cross-site scripting كه بلاي جان مرورگرهاي مدرن شده اند.
اين پروژه با نام سياست امنيت محتوا يا Content Security تعريف شده است و براي از بين بردن حملات XSS طراحي شده است. اين كار از طريق فراهم آوردن مكانيزمي براي سايتها اجرايي مي شود كه در آن وب سايتها به مرورگر اعلام مي كنند كه چه محتوياتي قانوني است. اين مكانيزم همچنين منجر به كاهش حملات سرقت كليك يا Clickjacking و شنود بسته ها يا Packet Sniffing مي شود.
در زير نشان داده شده كه چگونه سياست امنيت محتوا راهي را براي مديران سرور فراهم مي آورد تا حملات XSS را كاهش داده يا حذف كنند.
- مديران وب سايتها دامنه هاي مجاز دريافت اسكريپت را براي مرورگر مشخص كنند.
- مرورگر، تنها اسكريپت هايي را كه منبع فايل آنها در دامنه هاي موجود در ليست سفيد وجود دارد اجرا كرده و چيزهاي ديگر مانند اسكريپت هاي درون خطي و خصيصه هاي event-Handling در HTML را ناديده بگيرد.
- مي توان در سايتهايي كه هيچگاه نمي خواهند شامل صفحاتي با كد جاوااسكريپت باشند، استفاده از جاوااسكريپت را به صورت عمومي غيرمجاز تعريف كرد.
حملات سرقت كليك كه اجازه مي دهند كليك بر روي يك صفحه وب در واقع كليكي پنهان بر روي يك صفحه ديگر باشد كه از ديد كاربر پاياني پنهان است از طريق سياست مذكور و با تعريف سايتهايي كه مجاز به استفاده از كدهاي پنهان هستند، قابل كنترل است.
سازندگان اين سياست ادعا مي كنند كه اين تكنولوژي با نسخه هاي قديمي تر سازگار بوده و بر روي مرورگرها و وب سايتهايي كه تكنولوژي مذكور را پشتيباني نمي كنند تأثيري ندارد.
براي اطلاعات بيشتر به Mozilla’s FAQ مراجعه فرماييد.
- 5