Tratto dallo speciale:

Content Security Policy: Mozilla contro le vulnerabilità XSS

di Giuseppe Cutrone

Pubblicato 23 Giugno 2009
Aggiornato 12 Febbraio 2018 20:48

I programmatori di Mozilla sono al lavoro per arginare le vulnerabilità di tipo XSS, ovvero cross-site scripting, un tipo di attacco sempre più diffuso.

Il progetto di Mozilla si chiama Content Security Policy e servirà ad arginare gli attacchi di questo tipo inserendo nelle applicazioni Web un sistema che “informa” il browser sulla legittimità o meno della pagina aperta, riuscendo a bloccare pertanto la perdita dei dati utente in esso memorizzati.

Il sistema è ovviamente rivolto agli amministratori Web, che avranno il dovere di specificare chiaramente le policy da rispettare al fine di poter considerare legittima una pagina, evitando in tal modo dei “fraintendimenti” che potrebbero penalizzare la navigazione stessa del sito.

La soluzione di Mozilla andrebbe anche nella direzione di una maggiore sicurezza per quanto riguarda il clickjacking, consentendo di specificare chiaramente quali siti possono incorporare le risorse del sito principale, bloccando pertanto l’implementazione di questi “siti ombra” che portano l’utente a cliccare su link invisibili e non legittimi.