Szerző: Hlács Ferenc

2014. december 17. 14:10

Biztonságosabb lesz a Gmail

Leszámol a veszélyes kiegészítőkkel a Gmail, a népszerű szolgáltatás ugyanis CSP-támogatást kap, amely felvértezi a böngészőbe telepíehető, rosszul megírt vagy malware-t tartalmazó szoftverek ellen.

Újabb védelmi vonalat kap a Gmail, legalábbis az asztali PC-ken. A Google emailszolgáltatása CSP (Content Security Policy) támogatással egészül ki, amely a rosszindulatú böngészős kiegészítők által jelentett fenyegetést hivatott kivédeni. A Gmailhez számos, böngészőbe telepíthető kiegészítő érhető el, amelyek valamilyen plusz funkcionalitással ruházzák fel a szolgáltatást, ezek használata ugyanakkor némi kockázattal is jár, miután rosszindulatú kódot tartalmazhatnak.

A Content Security Policy egy olyan szerveroldalon működő biztonsági eljárás, amely a cross-site scripting (XSS) sebezhetőséget hivatott befoltozni. Az XSS egy tipikusan a webes alkalmazásokra jellemző támadás, amelyen keresztül kliensoldali kód szűrható be a fenyegetésnek kitett weboldalba. Ezt a lehetőséget kihasználva a potenciális támadók átugorhatják az oldalak hozzáférési megkötéseit - a Symantec szerint 2007 óta az online biztonsági rések több mint 80 százalékáért az XSS felel.

A CSP a problémát egy szabványos HTTP-fejléccel oldja meg, amelyben az egyes weboldalak tulajdonosai kijelölhetik, hogy mely forrásból érkező tartalmakat ítélnek biztonságosnak, legyen szó JavaScriptről, CSS-ről, képekről vagy akár beágyazható elemekről. A Google levelezője tehát a mostantól a szándékosan malware-rel fertőzött, illetve az egyszerűen a rossz minőség miatt veszélyes kiegészítők ellen is védelmet biztosít. A keresőóriás szerint a legnépszerűbb szoftverek már igazodtak a frissen bevezetett CSP szabványhoz, ha valaki mégis azt tapasztalná, hogy kedvenc kiegészítője nem működik, érdemes frissíteni azt az adott böngésző alkalmazásboltjából, vagy a készítő weboldaláról.

A vállalat az utóbbi hónapokban több intézkedéssel is igyekezett felturbózni szolgáltatásainak biztonságát, október óta például már USB biztonsági kulccsal is lehetőség van lezárni Google fiókunkat. A cég arról egyelőre nem beszélt, hogy a CSP a mobil platformokra is eljut-e, igaz, ott nem igazán kell tartani veszélyes kiegészítőktől.

a címlapról