Firefox dichiara guerra agli attacchi XSS

Il team di sviluppo di Mozilla continua a lavorare alacremente intorno al browser Firefox per aumentarne il grado di sicurezza. La celebre Fondazione ha da poco rilasciato le versioni in anteprima dell’applicativo contenenti alcune implementazioni tese a ridurre i rischi legati agli attacchi informatici effettuati via Web. Le nuove soluzioni sfruttano la specifica Content Security Policy (CSP) concepita per arginare gli effetti degli attacchi tramite cross site scripting (XSS).

«Come vi avevamo anticipato in precedenza, nel corso degli ultimi mesi ci siamo dati da fare per rendere la specifica Content Security Policy in grado di funzionare con il codice di Firefox. Siamo lieti di annunciarvi che il lavoro e pressoché terminato, e abbiamo pubblicato alcune build in anteprima per voi per farvele provare» si legge in un post da poco pubblicato da Brandon Sterne sul Mozilla Security Blog. La nuova soluzione dovrebbe rendere Firefox più sicuro grazie all’adozione di alcuni importanti accorgimenti per evitare gli attacchi XSS, generalmente perpetrati per sottrarre dati all’insaputa degli utenti o per diffondere nuovo malware.

CSP consente ai webmaster e ai creatori degli spazi online di inserire particolari restrizioni, utili per esempio per determinare come un sito web esterno possa accedere e relazionarsi con una data pagina online. Ciò permette la creazione di apposite liste nelle quali indicare quali script possano essere eseguiti e da quali fonti su uno specifico sito web, evitando così che il browser possa eseguire script provenienti da fonti poco affidabili o inseriti nelle pagine da un utente malintenzianto.

«Siamo entusiasti di aver ricevuto così tanti riscontri dai distributori di altri browser, dagli amministratori dei siti web e dagli esperti di sicurezza online e siamo fieri del progetto nato da questa discussione. Desideriamo incoraggiare tutti i server administrator e gli sviluppatori di applicazioni per la sicurezza sul web coinvolti nel progetto a prelevare una build in anteprima di Firefox, così da poterci aiutare nella fase di test delle nuove funzionalità» scrive Sterne nel post, indirizzando un chiaro appello alla comunità di sviluppatori ed esperti di sicurezza per ottenere rapidamente nuovi riscontri sulle ultime implementazioni realizzate sul browser.

Nonostante il lavoro di sviluppo proceda speditamente, occorrerà ancora del tempo prima che il supporto di CSP possa fare la propria comparsa nelle versioni per il pubblico di Firefox. L’applicativo da poco rilasciato in prova è ancora un prototipo e presenta diversi malfunzionamenti da correggere. Una volta terminata la fase di sviluppo, la nuova funzione potrebbe fornire agli utenti un ulteriore valore aggiunto per passare a Firefox, una condizione indispensabile per consentire a Mozilla di aumentare ancora la propria fetta di mercato nell’agguerrito comparto dei browser.