Mozilla Foundation: Neue Konzepte und Produktversionen
Mit Content Security Policy statt Same Origin Policy sollen künftig Cross-Site-Scripting-Attacken nicht mehr funktionieren. Neue Version von Thunderbird und SeaMonkey beseitigen kritische Lücken.
- Daniel Bachfeld
Die Mozilla Foundation hat in ihrem Security Blog ein neues Sicherheitskonzept vorgestellt, das Abhilfe gegen die mittlerweile epidemische Ausmaße erreichenden Cross-Site-Scripting-Attacken (XSS) respektive Schwachstellen bringen soll: Content Security Policy (CSP). Damit sollen Web-Administratoren dem Browser durch Senden eines speziellen Headers mitteilen können, welche Domains er als Quelle vertrauenswürdigen Codes akzeptieren soll. Herkömmliche XSS-Attacken machen sich unter anderem Lücken in Webanwendungen zunutze, um JavaScript im Kontext vertrauter Domains im Browser auszuführen.
Bei CSP soll der Browser nur Skripte ausführen, die aus Domains stammen, die in einer Whitelist zusammengefasst sind – alles andere wird geblockt. So kann der Administrator etwa einen eigenständigen Skript-Server spezifizieren, von dem der Browser Skripte nachlädt und ausführt. Angreifer sollen so keine Skripte mehr in HTML-Dokumente einschleusen können.
Selbst im Dokument eingebettetes JavaScript wird mit CSP standardmäßig nicht mehr ausgeführt. Websites sollen dem Browser sogar signalisieren können, das Ausführen von JavaScript in ihrem Kontext komplett abzuschalten. Sinnvoll kann dies etwa auf Seiten sein, die gar keine Skripte enthalten.
Dennoch soll CSP vollständig rückwärtskompatibel sein. Sendet die Website keinen CSP-Header, fällt der Browser auf die alte Same Origin Policy zurück. Browser ohne CSP-Unterstützung ignorieren den zusätzlichen Header einfach. Darüber hinaus soll CSP auch Maßnahmen gegen ClickJacking bieten und automatisch von HTTP-Seiten auf HTTPS-Seiten umleiten, sofern diese verfügbar sind.
Google prüft derzeit ebenfalls, seine Dienste aus Sicherheitsgründen standardmäßig per HTTPS anzubieten, um das Ausspähen von Informationen zu verhindern. Wann CSP konkret in Mozilla-Produkte implementiert werden soll, schreibt Brandon Sterne, Security Program Manageren bei Mozilla, nicht.
Unterdessen haben die Entwickler Version 2.0.0.22 des E-Mail-Clients Thunderbird zum Herunterladen bereitgestellt. In dieser Version sind mehrere Sicherheitslücken beseitigt, die die Entwickler teilweise als kritisch eingestuft haben. Auch SeaMonkey ist mittlerweile in der überarbeiteten Fassung 1.1.17 verfügbar. In Firefox wurden die insgesamt elf Lücken bereits vor rund zwei Wochen behoben.
Siehe dazu auch:
- Firefox 3.0.11 schließt kritische Lücken
- Google prüft durchgehende SSL-Verschlüsselung aller seiner Dienste
- Clickjacking: Jeder Klick im Browser kann der falsche sein
(dab)
