Firefox testa nova tecnologia de segurança

Firefox testa nova tecnologia de segurança que identifica site infectado

Nova Política de Segurança de Conteúdo permite que desenvolvedores de sites e aplicativos definam a legitimidade do conteúdo publicado.

A Mozilla lançou uma versão de testes do navegador Firefox, para desenvolvedores, com uma tecnologia para evitar a maioria dos ataques baseados na web.

A novidade, chamada de “Política de Segurança de Conteúdo” (CSP), é uma iniciativa da Mozilla voltada a desenvolvedores de aplicativos e websites, permitindo que eles definam a legitimidade do conteúdo publicado. O resultado é o bloqueio de qualquer script ou código malicioso que tenha sido adicionado por usuários mal intencionados. Este tipo de ataque é conhecido como cross-site scripting (XSS).

“Não é um simples truque feito para combater um único tipo de ataque”, afirmou o gerente da equipe de desenvolvimento do Firefox, Johnathan Nightingale. “Isso ajuda os sites a resolverem o cross-site scripting, mas é não é só isso. Agora há um jeito de desativar tudo que é dinâmico: não importa qual conteúdo chega ao site, se estiver na página e tivermos as instruções, podemos desativar.”

Com isso, o Firefox está passando o controle aos desenvolvedores, que poderão bloquear o conteúdo ilícito. Com o CPS, o navegador libera o conteúdo antigo, mas cria um bloqueio automático para o novo.

“Ele é parecido com o NoScript em alguns aspectos”, disse o gerente do programa de segurança da Mozilla, Brandon Sterne, referindo-se a um complemento popular que bloqueia JavaScript, Java, Flash e outros plugins que são usados para ataques.

De acordo com Sterne, as equipes do Internet Explorer e do Chrome demonstraram interesse na tecnologia. O gerente de programas da equipe do Internet Explorer, Eric Lawrence, afirmou que o CSP é “uma boa idéia”.

A Mozilla não é a única desenvolvedora de navegadores que tenta proteger seus usuários dos ataques de cross-site scripting. A Microsoft, por exemplo, adicionou um filtro de cross-site scripting para o Internet Explorer 8 que também visa a bloquear ataques.

As versões de testes do Firefox com o CSP habilitado podem ser baixadas para Windows, Windows Mobile, Mac e Linux, diretamente dos servidores oficiais. Sterne também postou uma página de demonstração que utiliza gráficos para mostrar como vários scripts são bloqueados pela tecnologia.