فایرفاکس ۵۷، محافظت‌های جدید در برابر XSS را ارائه می‌دهد

موزیلا این هفته برنامه‌های خود را برای بالا بردن محافظت‌ها در برابر اسکریپت بین-وب‌گاهی (XSS) در فایرفاکس، با اصلاح URLهای داده‌ها به‌عنوان یک منبع منحصربه‌فرد اعلام کرد. استفاده از یک طرح کلی URL داده‌ها، توسعه‌دهندگان وب را قادر می‌سازد تا به‌صورت مستقیم به پرونده‌های کوچک برخط در میان اسناد HTML یا CSS دسترسی داشته باشند. به‌دلیل این سازوکار، مرورگر مجبور نیست تعداد زیادی از درخواست‌های HTTP را به‌منظور بارگیری منابع خارجی، به‌دلیل این که در صفحه وجود دارند، اجرا کند.

 

 با این حال، همان شیوه به مجرمان سایبری اجازه می‌دهد تا صفحات حمله را ایجاد کرده و نام‌های کاربری، گذرواژه‌ها و دیگر اطلاعات محرمانه‌ی کاربران را به سرقت ببرند. با جا دادن تمامی کد حمله در داخل URL داده‌ها، مهاجمان می‌توانند بدون نیاز به میزبانی یک وب‌گاه کامل، حملات را راه‌اندازی کنند. URL داده‌ها، متن امنیتی عنصر جاسازی شده را به ارث برده و این مدل به ارث بردن، درها را برای حملات اسکریپت بین-وب‌گاهی (XSS) باز می‌کند.

 

برای جلوگیری از چنین حملاتی، فایرفاکس ۵۷، URLهای داده‌ها را به‌عنوان یک منبع منحصربه‌فرد اصلاح خواهد کرد و دیگر منبع عهده‌دار تنظیمات اشیاء برای جهت‌یابی را به ارث نخواهد برد. بنابراین، URLهای داده‌ی بارگذاری‌شده در داخل یک iframe، دیگر همان منبع اسناد اصلی را نخواهند داشت. موزیلا در یک پست وبلاگی می‌نویسد: «با آغاز فایرفاکس ۵۷، URLهای داده‌ی بارگذاری‌شده در داخل یک iframe، با منبع متقاطع درنظر گرفته خواهند شد. این رفتار نه تنها خطر XSS را کاهش داده، بلکه استانداردهای فایرفاکس را با رفتار مرورگرهای دیگر سازگار خواهد کرد.»

 

با این حال، این شرکت همچنین توضیح می‌دهد URLهای داده‌ای که ایجاد یک محیط اسکریپت را به پایان نرسانند، با درنظر گرفتن همان منبع ادامه خواهند یافت. موزیلا می‌گوید، URLهای داده‌ها در عناصر img، به این ترتیب اصلاح خواهند شد. به‌دلیل تنظیمات امنیتی جدید، فایرفاکس ۵۷ تلاش‌ها برای رسیدن به محتوای یک منبع دیگر را متوقف خواهد کرد، مانند زمانی‌که یک اسکریپت داخل iframe URLهای داده‌ها برای دسترسی به اهداف متن جاسازی شده تلاش می‌کند. در فایرفاکس نسخه‌ی ۵۶ و قبل از آن، این موضوع امکان‌پذیر بود، زیرا URLهای داده‌ها متن امنیتی را به ارث برده بودند. در همان هفته‌ای که موزیلا برنامه‌های خود را برای حذف کامل پشتیبانی برای ویندوز ایکس‌پی و ویستا با شروع فایرفاکس از ژوئن ۲۰۱۸ میلادی اعلام کرد، افزایش امنیت نیز اعلام شد. چند ماه پیش، این شرکت افزونه‌ی ادوبی فلش را ساخته بود که به‌طور پیش‌فرض با یک کلیک فعال می‌شد، در نتیجه امنیت کاربران خود را بهبود بخشیده بود. 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید