Brandon Sterne, Security Program Manager, ha presentato ufficialmente la prima versione ufficiale di browser che supporta la tecnologia Content Security Policy (CSP).
Di cosa si parla? Content Security Policy è una tecnologia pensata per combattere gli attacchi “cross-site scripting” (XSS). Un attaccante che vuole “minare” un sito Web dinamico può farlo iniettando del proprio codice JavaScript, e facendo caricare alla pagina Web dei propri script, per lo più presenti su un dominio diverso da quello di origine del sito Web. Bene, CSP serve a combattere questo tipo di situazioni.
Quindi? Mozilla Foundation sta lavorando a CSP proprio per proporre agli sviluppatori Web una tecnologia in grado di aumentare la protezione dagli attacchi XSS.
Come funziona? Content Security Policy al momento si basa su un principio molto semplice: lo sviluppatore Web deve indicare all’interno delle proprie pagine i domini considerati sicuri. Il browser garantirà che verranno caricati ed eseguiti solo gli script appartenenti ai domini indicati come sicuri.
Al momento Brandon Sterne e il team di Mozilla hanno messo a disposizione una versione dei browser Web Firefox e Fennec con supporto Content Security Policy. Inoltre è stata pubblicata una demo-online che dimostra come utilizzare la tecnologia. In questo modo è possibile iniziare a sperimentare la tecnologia proposta e far pervenire i propri feedback.
