Firefox testa nova tecnologia de segurança que identifica site infectado
Nova Política de Segurança de Conteúdo permite que desenvolvedores de sites e aplicativos definam a legitimidade do conteúdo publicado.
A Mozilla lançou uma versão de testes do navegador Firefox, para desenvolvedores, com uma tecnologia para evitar a maioria dos ataques baseados na web.
A novidade, chamada de Política de Segurança de Conteúdo (CSP), é uma iniciativa da Mozilla voltada a desenvolvedores de aplicativos e websites, permitindo que eles definam a legitimidade do conteúdo publicado. O resultado é o bloqueio de qualquer script ou código malicioso que tenha sido adicionado por usuários mal intencionados. Este tipo de ataque é conhecido como cross-site scripting (XSS).
Não é um simples truque feito para combater um único tipo de ataque, afirmou o gerente da equipe de desenvolvimento do Firefox, Johnathan Nightingale. Isso ajuda os sites a resolverem o cross-site scripting, mas é não é só isso. Agora há um jeito de desativar tudo que é dinâmico: não importa qual conteúdo chega ao site, se estiver na página e tivermos as instruções, podemos desativar.
Com isso, o Firefox está passando o controle aos desenvolvedores, que poderão bloquear o conteúdo ilícito. Com o CPS, o navegador libera o conteúdo antigo, mas cria um bloqueio automático para o novo.
Ele é parecido com o NoScript em alguns aspectos, disse o gerente do programa de segurança da Mozilla, Brandon Sterne, referindo-se a um complemento popular que bloqueia JavaScript, Java, Flash e outros plugins que são usados para ataques.
De acordo com Sterne, as equipes do Internet Explorer e do Chrome demonstraram interesse na tecnologia. O gerente de programas da equipe do Internet Explorer, Eric Lawrence, afirmou que o CSP é uma boa idéia.
A Mozilla não é a única desenvolvedora de navegadores que tenta proteger seus usuários dos ataques de cross-site scripting. A Microsoft, por exemplo, adicionou um filtro de cross-site scripting para o Internet Explorer 8 que também visa a bloquear ataques.
As versões de testes do Firefox com o CSP habilitado podem ser baixadas para Windows, Windows Mobile, Mac e Linux, diretamente dos servidores oficiais. Sterne também postou uma página de demonstração que utiliza gráficos para mostrar como vários scripts são bloqueados pela tecnologia.
Com informações de Computerworld/EUA.
