Mozilla snijdt cross site scripting de pas af

Een cross site scripting-aanval maakt misbruik van het feit dat een browser alle communicatie met een vertrouwde website als vertrouwde content bestempelt, ook als die content door een onbekende is toegevoegd. Als een hacker dus kans ziet malware, of verwijzingen naar een site met malware, binnen te smokkelen op een legitieme site, dan worden die geladen op het systeem van de pagina-bezoeker, met alle risico’s van dien.

De kern van Mozilla’s CSP is dat uitbaters van websites zelf gaan aangeven welke elementen van de site van henzelf afkomstig en dus te vertrouwen zijn. Aanscherpen van de bescherming is daardoor niet afhankelijk van de medewerking van de individuele websurfers. De browser ‘ziet’ direct welke elementen door derden zijn geplaatst, en kan daarin vervatte code en links filteren.

CSP vergt geen nieuwe technologie; implementatie ervan vraagt alleen aanpassingen in de websites. Voordeel is ook dat de methode veilige scripts kan identificeren. Veel websurfers blokkeren uitvoering daarvan, maar dat gaat vaak ten koste van de functionaliteit van de bezochte site.

Met de introductie van de testversie kunnen websitebouwers zich een beter beeld vormen van de werking en de implicaties van CSP. Mozilla op zijn beurt hoopt op feedback voor de afronding van CSP, want de functionaliteit is nog niet geheel compleet.

Grootste probleem daarna wordt de andere browserleveranciers interesseren voor deze aanpak, met name Microsoft. Als cross site scripting blijft werken op de systemen van de twee derde van hun bezoekers die met Internet Explorer werken, zullen websitebouwers niet vreselijk gemotiveerd zijn voor het extra werk om hun website met CSP te beschermen. Ontwikkelaars die bij Microsoft werken aan Internet Explorer hebben al wel input geleverd voor CSP, maar Microsoft heeft zich nog niet vastgelegd op incorporatie ervan in zijn browser. Hetzelfde geldt voor Google.

De testversie en meer informatie is beschikbaar op Mozilla’s Security Blog.