Mozilla in geweer tegen cross site scripting
Cross site scripting-aanvallen behoren tot de lastigste problemen voor websitebeheerders. De risico’s worden groter naarmate men meer interactie met websitebezoekers toestaat. Een cross site scripting-aanval maakt namelijk misbruik van het feit dat een browser alle communicatie met een vertrouwde website als vertrouwde content bestempelt, ook als die content door een onbekende is toegevoegd.
Shutterstock
Shutterstock
Als een hacker kans ziet malware of verwijzingen naar een site met malware binnen te smokkelen op een site, krijgt hij toegang tot het systeem van de pagina-bezoekers.
Beheerders van websites kunnen wel maatregelen nemen tegen dit soort praktijken, en door continu waakzaam te zijn veel problemen voorkomen. Maar dat kost zeker bij grotere sites een aanmerkelijke inspanning, en geeft geen absolute garantie dat problemen achterwege blijven. Mozilla stelt daarom nu een andere aanpak voor: de Content Security Policy.
Kern van deze aanpak is dat uitbaters van websites zelf aangeven welke elementen van de site van henzelf afkomstig en dus te vertrouwen zijn. Bij JavaScripts dient bijvoorbeeld expliciet te worden gespecificeerd dat deze alleen van een extern bestand op een goedgekeurde host mogen worden geladen.
Het grote voordeel van dit voorstel van Mozilla is dat aanscherpen van de bescherming niet afhankelijk is van de medewerking van de individuele websurfers. Content Security Policy vergt ook geen nieuwe technologie; implementatie ervan vraagt alleen aanpassingen in de HTML-code en JavaScripts van websites. Grootste bottle-neck is de hoeveelheid werk die dat kan opleveren.
Meer informatie over Content Security Policy is te vinden op de Mozilla Security Blog.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee