Nauja „Firefox“ saugumo technologija blokuoja internetines atakas

Kompanija „Mozilla“ išleido bandomąją „Firefox“ versiją, apimančią naują technologiją, skirtą priešintis internetinėms atakoms. Technologija, kuri buvo pavadinta „Content Security Policy“ (CSP), gali atpažinti, kuris svetainės ar internetinės programos turinys yra teisėtas. Tai leis blokuoti kenksmingą kodą, galintį sukompromituoti svetainę ar programą. Tokios atakos dažnai vadinamos „cross-site scripting“ (XSS). Praėjusią savaitę kompanija „Mozilla“ pranešė, kad programuotojai gali išbandyti pradines „Firefox“ versijas. „Tai nėra technologija, galinti kovoti tik su vienos rūšies ataka, – sakė „Firefox“ kūrimo komandos vadovas Johnathan Nightingale. – Tai padeda išspręsti „cross-site scripting“ problemas ir ne vien tai“.

„Firefox“ leidžia atskirti legalų turinį nuo neteisėto, taigi, CSP blokuos neteisėtą turinį. „Tai nėra panašu į „NoScript“, – sakė „Mozilla“ saugumo programų vadovas Brandon Sterne. – Pagrindinis skirtumas yra tas, jog pati interneto svetainė nustato politiką. „NoScript“ yra puikus įrankis, tačiau dauguma interneto vartotojų nėra juo patenkinti, nes reikia priimti tam tikrus sprendimus“.

Johnathan Nightingale ir Brandon Sterne su SCP sieja dideles viltis. Šios technologijos idėją 2005 metais pirmą kartą iškėlė saugumo tyrėjas Robert Hansen. Pernai metais kompanijos „SecTheory“ vadovas Jeremiah Grossman ir Robert Hansen atskleidė, kaip naršykles gali pažeisti „clickjacking“ atakos. „Žinoma, svarbiausios yra „cross-site scripting“ atakos, – teigė Brandon Sterne. – Kompiuterių piratas įtraukia skriptą, kuris kelia grėsmę svetainės lankytojui. CSP naršyklei siunčia signalus: „Mes turime viską išjungti dėl klaidos“. „Cross-site scripting“ tokiu būdu yra neutralizuojamas“.

Tačiau Johnathan Nightingale ir Brandon Sterne suprato, kad nors „Firefox“ naudojasi ketvirtadalis interneto vartotojų, tačiau kompanija „Mozilla“ susiduria su sunkiu iššūkiu, jei tik jos naršyklėje naudojama technologija CSP. „Naršyklių „Internet Explorer“ ir „Chrome“ komandos prisidėjo prie šio projekto specifikacijų diskusijos, – teigė Brandon Sterne. – Jie taip pat domisi galimybe ateityje įgyvendinti šią technologiją“. Šių metų pradžioje kompanijos „Microsoft“ naršyklės „Internet Explorer“ komandos vadovas Eric Lawrence CSP pavadino gera idėja bei perspektyviu požiūriu, tačiau jis nepatvirtino, kad kompanija domisi galimybe paremti šią technologiją. „Gera matyti, kad ir kiti rimtai žiūri į šią grėsmę“, – tvirtino Brandon Sterne.

Kompanija „Google“, sukūrusi naršyklę „Chrome“, anksčiau teigė neketinanti komentuoti savo ateities planų, susijusių su produkto vystymu. Kompanija „Mozilla“ turi įtikinti svetainių ir programų kūrėjus, kad jie turėtų naudoti CSP. „Pirmiausia mes turime paskatinti juos naudoti šią technologiją“, – sakė Johnathan Nightingale. Pora neatskleidė, kada CSP debiutuos „Firefox“ gamybinėje versijoje. Jie tik paminėjo, kad ji nepasirodys naujoje „Firefox 3.6“ versijoje, kuri bus pristatyta jau lapkričio mėnesį. Beta versija pasirodys spalio 13 dieną.

Kompanija „Mozilla“ nėra vienintelė naršyklių gamintoja, siekianti apsaugoti vartotojus nuo „cross-site scripting“ atakų. Kompanija „Microsoft“ į savo naršyklę „IE8“ pridėjo „cross-site scripting“ filtrą, blokuojantį atakas. „Firefox“ pradinės versijos, kuriose įmontuota technologija CSP, gali būti atsisiunčiamos „Windows“, „Windows Mobile“, „Mac“ bei „Linux“ operacinėms sistemoms.

Leave Comment

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *