Firefox 4 ma być przeglądarką daleko bezpieczniejszą, niż obecna linia 3.6. Jedną z kluczowych inicjatyw w tym celu ma być wprowadzenie do programu mechanizmu Content Security Policy (CSP). Brandon Sterne, menedżer bezpieczeństwa w Mozilli wyjaśnia: „Polityki bezpieczeństwa treści skupiają się na osłonie przed atakami Cross Site Scripting (XSS), uniemożliwiają uruchomienie wstrzykniętym skryptom. Witryny mogą ogłaszać polityki, które Firefox zastosuje do zawartości strony – wszelkie treści, które nie zostały pobłogosławione przez witrynę, nie będą mogły być załadowane i uruchomione”.

Oprócz zabezpieczenia przed atakami XSS, Content Security Policy uchronić ma przed clickjackingiem – atakiem, w którym napastnik osadza system logowania do witryny na nieprzynależącej do niego stronie, dzięki czemu może przechwycić loginy i hasła innych użytkowników. CSP pozwoli na zminimalizowanie tego ryzyka – administratorzy witryn będą mogli decydować, które części ich stron będą mogły być osadzane w pływających ramkach i na których innych zewnętrznych stronach będzie to możliwe.

W razie wykrycia ataku, CSP będzie raportował to zajście do systemu monitorującego. „Będzie to system wczesnego ostrzegania wbudowany w CSP; witryna będzie mogła określić URL, pod który wysłany zostanie alarm w razie naruszenia jej polityk” – dodał Sterne. Witryny będą mogły też regulować poziom aktywności systemu ochronnego Firefoksa – na przykład tak, by nie blokował on żadnych treści, ale wysyłał powiadomienia o atakach.

Rozwijana przez Mozillę technologia wzbudziła już pewne zainteresowanie Google'a i Microsoftu. Jonathan Nightingale, dyrektor Firefoksa w Mozilli przyznał, że trwają starania o uczynienie CSP standardem uznanym przez konsorcjum W3C. Przygotowywana jest też dokumentacja i zasoby, które pozwolą deweloperom na wprowadzenie obsługi tego mechanizmu do swoich witryn.

Firefox 4 ma też wreszcie pozbyć się starego błędu w CSS, który pozwalał napastnikom na zidentyfikowanie odwiedzanych przez użytkownika stron. Wykorzystany był w tym system obsługi pseudoselektora a:visited. Nowa polityka Mozilli sprawi, że tylko użytkownik będzie mógł po kolorze linku sprawdzić, czy odwiedził już daną stronę. Dla zewnętrznych skryptów i witryn każda strona będzie wyglądała tak samo, niezależnie od tego, czy jest w historii przeglądarki.

Źródło: esecurityplanet.com