T.S.
Mozilla 於本週三時發表預建安全強化設計版本的 Firefox 軟體,以避免網路日益嚴重之未知的網路攻擊。
Mozilla 資深程式經埋 Brandon Sterne 於部落格中貼文指出,該公司嘗試在 Firefox 中內建內容安全政策 (Content Security Policy, CSP) 架構並釋出預覽版本,希望安全研究人員與伺服器管理人員可以下載並協助進行測試。
預覽版 Firefox 作業系統包含了 CSP 架構,該架構主要係用以避免跨站腳本攻擊 (Cross-Site Scripting, XSS) 等網路應用程式漏洞。換言之,Mozilla 的內容安全政策要能落實,就必須網站與瀏覽器都支援 CSP 架構。
除了 XSS 攻擊之外,當初 CSP 架構的設計初衷,也是要解決跨站冒名請求 (Cross Site Request Forgery, CSRF) 的問題,但這種防堵 CSRF 的方法,已歸入原始標頭協定之範疇。
目前 XSS 的攻擊語法可以千變萬化,目前各家瀏覽器往往難以徹底防護,且現在也已有人使用 XSS 和 CSRF 攻擊來竊取資料、破壞網站畫面以及散佈惡意程式。
從規格面來看,Mozilla 了解理想的情況,是打造一個毫無弱點可供駭客利用的網路應用。然而,在現實世界中,安全問題必須仰賴層層防護加以強化,CSP 也僅是其中一層,新的漏洞更是隨時可能出現;不過,CSP 至少可以讓網站在修補相關漏洞之前,降低使用者的安全風險。現在的許多網頁多少需要藉由動態內容強化與使用者的互動,倘若使用者提供的資料包含了惡意腳本字串,卻又成為動態輸出之 HTML 內容的一部分,便可能被安插進原本合法無惡意的 HTML 文件。
目前看來,似乎已有許多網站意識到這些威脅的存在,也設法透過程式設計來找出並解決這些弱點,但其中工程之浩大與複雜性,卻可能並非網站應用本身所能想像。因此,瀏覽器業者有責任針對這樣的問題,投入更多心力,以保護使用者不致遭受跨站腳本攻擊等等的安全威脅。
CSP 還可提供點閱綁架 (clickjacking) 與封包擷取攻擊 (packet sniffing attack) 防護。
包含 CSP 架構的 Firefox 版本目前仍未徹底完工。但 Mozilla 希望,透過這樣的測試,可以加速發展流程。