Proteções chegam no novo Firefox!
A Mozilla anunciou esta semana planos para aumentar as proteções do Cross-Site-Scripting (XSS) no Firefox ao tratar URLs de dados como origem única.
O uso de um esquema de URL de dados permite que os desenvolvedores da Web inline arquivos pequenos diretamente em documentos HTML ou CSS, o que também resulta em tempos de carregamento de páginas mais rápidos. Por causa desse mecanismo, o navegador não precisa executar um grande número de solicitações HTTP para carregar recursos externos, já que eles já estão na página.
No entanto, a mesma técnica permite que os cibercriminosos elaborem páginas de ataque e roubem nomes de usuários, senhas e outras informações confidenciais de usuários desavisados.
Ao incorporar todo o código de ataque dentro do URL de dados, os criminosos podem iniciar ataques sem ter que hospedar um site completo. O URL de dados herda o contexto de segurança do elemento de incorporação e este modelo de herança abre a porta para ataques de Cross-Site-Scripting (XSS).
Para evitar tais ataques, o Firefox 57 tratará os URLs de dados como origens únicas e deixará de herdar a origem do objeto de configuração responsável pela navegação. Assim, os URLs de dados carregados dentro de um iframe não serão mais da mesma origem com o documento pai.
"Começando com o Firefox 57, os URLs de dados carregados dentro de um iframe serão considerados de origem cruzada. Não só esse comportamento mitigue o risco de XSS, mas também tornará o padrão do Firefox compatível com o comportamento de outros navegadores ", observa Mozilla em uma postagem no blog .
No entanto, a empresa também explica que os URLs de dados que não acabam criando um ambiente de script continuarão a ser considerados de mesma origem. Os URLs de dados em elementos img serão tratados como tal, diz Mozilla.
Devido à nova configuração de segurança, o Firefox 57 bloqueará as tentativas de alcançar o conteúdo de uma origem diferente, como quando um script dentro de um iframe de URL de dados tenta acessar objetos do contexto de incorporação. Na versão do Firefox 56 e superior, isso foi possível porque os URLs de dados herdaram o contexto de segurança.
O aprimoramento de segurança foi anunciado na mesma semana. A Mozilla revelou planos para remover completamente o suporte para Windows XP e Vista do Firefox a partir de junho de 2018 . Há alguns meses, a empresa criou o plugin Adobe Flash para ativar por padrão , melhorando ainda mais a segurança de seus usuários.
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário