شماره: IRCNE200910427
شركت موزيلا يك نسخه آزمايشي از فايرفاكس را عرضه كرده است كه در آن از يك فناوري جديد براي مقابله با حملات مبتني بر وب استفاده شده است. اين فناوري از Content Security Policy(CSP) ايده گرفته است و ابتكار موزيلا در دادن توانايي به توسعه دهندگان برنامه هاي كاربردي و مبتني بر وب مي باشد تا بتوانند محتويات امن بر روي وب سايت و يا در برنامه هاي كاربردي آنلاين را معرفي كنند. در اين صورت هر اسكريپت ديگري كه توسط هكر براي مورد مصالحه قرار دادن وب سايت اضافه شده باشد متوقف مي گردد. حملات مذكور كه به حملات جعل درخواست cross-site scripting يا XSS معروف هستند، قرار است با استفاده از اين فناوري متوقف شوند.
يكي از مديران موزيلا در اينباره مي گويد:
"درست است كه اين امكان به وب سايتها كمك مي كند مشكل Cross-site scripting را حل كنند ولي در واقع بيش از اين مي باشد. اين فناوري روشي پويا براي غيرفعال كردن هر چيزي است. در صورتي كه وب سايتها سياست خود را در header براي ما ارسال كنند، ما مي توانيم هر چيزي را كه مغاير با آن باشد غيرفعال كنيم. با اين امكان فايرفاكس توپ را به زمين وب سايتها و توسعه دهندگان نرم افزار مي فرستد زيرا قادرند محتويات قانوني را از محتويات غيرقانوني جداسازي كنند."
به گفته مدير برنامه هاي امنيتي موزيلا اين امكان شبيه NoScript است كه امكانات جاوااسكريپت، جاوا و ديگر plug-in هايي را كه اغلب توسط هكرها مورد استفاده قرار مي گيرد را غير فعال مي سازد. تفاوت اصلي اين فناوري در اين است كه به وب سايتها اجازه مي دهد سياست مورد نظر را تعيين كنند زيرا با وجودي كه ابزار NoScript بسيار قوي مي باشد ولي همه كاربران اطلاعات و مهارت كافي را در استفاده از آن دارا نيستند.
موزيلا اعلام كرده است كه پيش نويسهاي اين نسخه از فايرفاكس در دسترس توسعه دهندگان نرم افزار نرم افزار قرار دارد تا در مورد آن به مطالعه بپردازند و به ارتقاي آن ياري رسانند.
- 2