Software::Security
Content Security Policy in Firefox wird offiziell
Die W3C-Spezifikation Content Security Policy 1.0 wird ab Firefox 23 offiziell unterstützt. Sie gilt als Meilenstein auf dem Weg zu noch mehr Sicherheit vor Cross-Site-Scripting und anderen Angriffen auf Webbrowser.
Mozilla Foundation
Content Security Policy (CSP) ist eine Spezifikation, die einige Jahre in Entwicklung war und seit November 2012 beim W3C als vorläufige (»Kandidat«) Version 1.0 veröffentlicht ist. Sie spezifiziert HTTP-Header, mit denen Web-Entwickler festlegen können, aus welchen Quellen die Inhalte einer Seite kommen dürfen. Ein
Artikel von Mike West erläutert die Verwendung der Spezifikation in vielen Details.
Ein kurzer geschichtlicher Abriss der Spezifikation, wie er im Mozilla Security Blog dargestellt wird, ist wie folgt. Die Idee, dass in einem Dokument angegeben werden kann, aus welchen Quellen seine Inhalte kommen dürfen, kam bereits 2007 auf. Eine erste Prototyp-Implementation für Firefox ist seit Version 4.0, also seit März 2011, verfügbar. Firefox verwendet dafür den Header X-Content-Security-Policy. Andere Browser griffen den Ansatz auf, so Chrome mit dem Header X-Webkit-CSP. Nach einiger Diskussion zwischen Sicherheits- und Web-Experten wurde im November 2011 der erste Entwurf der Content Security Policy 1.0 beim W3C publiziert. Deren Syntax war bereits eine Weiterentwicklung der Firefox-Implementation und unterschied sich erheblich von dieser. Ein Jahr später erreichte die Spezifikation den Kandidaten-Empfehlungs-Status. Sie ist bereits in Chrome ab Version 25, Safari und demnächst Firefox ab Version 23 implementiert, während Internet Explorer 10 nur die sandbox-Direktive unterstützt.
Firefox wird demnach ab Version 23 die offizielle Direktive Content-Security-Policy unterstützen. Die alte Version des Headers wird künftig eine Warnung auslösen und, nachdem die Web-Entwickler genug Zeit für die Umstellung hatten, ganz verschwinden. Von da an können die Web-Entwickler eine einheitliche Direktive verwenden anstelle von mehreren, um alle Browser abzudecken. Änderungen in CSP 1.0 gegenüber der bisherigen Implementation in Firefox sind zum einen die Syntax, zum anderen ändert sich das Standard-Verhalten, wenn gar nichts angegeben wird, vom einem kompletten Blockieren zu einer vollständigen Öffnung, was dem Verhalten ohne den Header entspricht. Weitere Änderungen betreffen die Art und Weise, wie Inline-Skripte und eval() erlaubt werden, und das Blockieren von Inline-Styles, das bisher nicht vorhanden war. Geringfügige Unterschiede zwischen der W3C-Empfehlung und der Firefox-Implementation bestehen immer noch.
Die Zukunft bringt laut Mozilla CSP 1.1, an dem die Firefox-Entwickler aktiv mitarbeiten wollen. Die kommende Version wird es unter anderem ermöglichen, einzelne Inline-Skripte wieder zu erlauben. Das Blockieren von Inline-Styles wird dagegen noch erweitert, ist allerdings noch in der Diskussion.
){kind=logo}
