Content Security Policy: új biztonsági kezdeményezés a Mozillától

A Mozilla által fejlesztett Content Security Policy (CSP) hatása a jelenleg is népszerű NoScript kiegészítőhöz hasonló, a jelentős különbség azonban az, hogy míg a NoScript minden scriptet (Java, JavaScript, Flash, stb.) eltávolít az oldalról, a CSP a weboldal tulajdonosára bízza, milyen tartalmak megjelenítését engedélyezi. A webfejlesztőknek nincs más dolguk, mint a Mozilla által megkövetelt formátumban az engedélyezett tartalmak listáját elhelyezni az oldal forrásában, a CSP-vel kompatibilis böngésző pedig csak ezeket fogja megjeleníteni.

Ez a megoldás olyan támadások ellen nyújthat védelmet mint a cross-site scripting, vagy például ha rosszakarók az oldal kódjába saját scriptet csempésznek, akár a szerver feltörésével, akár egy fórummotor vagy a hozzászólásokat kezelő és megjelenítő rendszer sebezhetőségének kihasználásával. A CSP alapértelmezésként semmilyen scriptet vagy más tartalmat nem enged megjelenni, csak és a weboldal kódjában engedélyezetteket.

Persze a CSP valójában semmit sem ér megfelelő böngésző nélkül, a Firefox pedig a világ legnagyobb részén még mindig az Internet Explorer mögött kullog részesedését tekintve. Örömhír, hogy a technológia kidolgozásában az Internet Explorer és a Chrome fejlesztő is részt vettek, így a jövőben ezekbe a böngészőkbe is bekerülhet a CSP.Egyelőre még nem tudni, a Firefoxban mikor jelenhet meg a technológia, az biztos, hogy a novemberre ígért Firefox 3.6-nak még nem lesz része, legkorábban a jövőre várható 3.7-es változatban mutatkozhat be. A weboldalak tulajdonosai a specifikációk alapján addig megkezdhetik a felkészülést és a tesztelést.

A CSP-vel ellátott Firefox-előzetes letölthető a Mozilla weboldaláról a szokásos platformokra, azaz Windowsra, Linuxra, Mac OS X-re. A Content Security Policy működése ezen az oldalon ellenőrizhető.