FERRAMENTAS LINUX: Firefox 57 está para obter novas proteções de XSS

sexta-feira, 6 de outubro de 2017

Firefox 57 está para obter novas proteções de XSS



Proteções chegam no novo Firefox!



A Mozilla anunciou esta semana planos para aumentar as proteções do Cross-Site-Scripting (XSS) no Firefox ao tratar URLs de dados como origem única.

O uso de um esquema de URL de dados permite que os desenvolvedores da Web inline arquivos pequenos diretamente em documentos HTML ou CSS, o que também resulta em tempos de carregamento de páginas mais rápidos. Por causa desse mecanismo, o navegador não precisa executar um grande número de solicitações HTTP para carregar recursos externos, já que eles já estão na página.

No entanto, a mesma técnica permite que os cibercriminosos elaborem páginas de ataque e roubem nomes de usuários, senhas e outras informações confidenciais de usuários desavisados.

Ao incorporar todo o código de ataque dentro do URL de dados, os criminosos podem iniciar ataques sem ter que hospedar um site completo. O URL de dados herda o contexto de segurança do elemento de incorporação e este modelo de herança abre a porta para ataques de Cross-Site-Scripting (XSS).

Para evitar tais ataques, o Firefox 57 tratará os URLs de dados como origens únicas e deixará de herdar a origem do objeto de configuração responsável pela navegação. Assim, os URLs de dados carregados dentro de um iframe não serão mais da mesma origem com o documento pai.

"Começando com o Firefox 57, os URLs de dados carregados dentro de um iframe serão considerados de origem cruzada. Não só esse comportamento mitigue o risco de XSS, mas também tornará o padrão do Firefox compatível com o comportamento de outros navegadores ", observa Mozilla em uma postagem no blog .

No entanto, a empresa também explica que os URLs de dados que não acabam criando um ambiente de script continuarão a ser considerados de mesma origem. Os URLs de dados em elementos img serão tratados como tal, diz Mozilla.

Devido à nova configuração de segurança, o Firefox 57 bloqueará as tentativas de alcançar o conteúdo de uma origem diferente, como quando um script dentro de um iframe de URL de dados tenta acessar objetos do contexto de incorporação. Na versão do Firefox 56 e superior, isso foi possível porque os URLs de dados herdaram o contexto de segurança.

O aprimoramento de segurança foi anunciado na mesma semana. A Mozilla revelou planos para remover completamente o suporte para Windows XP e Vista do Firefox a partir de junho de 2018 . Há alguns meses, a empresa criou o plugin Adobe Flash para ativar por padrão , melhorando ainda mais a segurança de seus usuários.

Fonte

Até a próxima!!

Nenhum comentário:

Postar um comentário