Trusted Types API: Η Google δημιούργησε ένα νέο API το οποίο θα βοηθήσει το Chrome να καταπολεμήσει ορισμένους τύπους επιθέσεων cross-site scripting (XSS), προσθέτοντας ένα άλλο επίπεδο προστασίας σε επίπεδο προγράμματος περιήγησης.
Αυτή η νέα λειτουργία ονομάζεται Trusted Types και είναι ένα API του προγράμματος περιήγησης Chrome στο οποίο εργάζεται η Google τους τελευταίους μήνες.
Οι προγραμματιστές της εταιρείας σκοπεύουν να δοκιμάσουν τo Trusted Types API καθ ‘όλη τη διάρκεια του 2019, μεταξύ του Chrome 73 και του Chrome 76, πριν τo ενεργοποιήσουν σαν μόνιμη λειτουργία ασφαλείας για όλους τους χρήστες του Chrome αργότερα μέσα στο έτος.
Αυτό το νέο χαρακτηριστικό ασφάλειας αναπτύχθηκε με σκοπό την προστασία των χρηστών από έναν από τους τρεις τύπους ελαττωμάτων cross-site scripting, DOM-based (ή type-0) XSS.
Μια λεπτομερής ανάλυση των τριών τύπων XSS διατίθεται εδώ, για τους αναγνώστες που επιθυμούν να μάθουν περισσότερα για το XSS.
Βασικά, το XSS που βασίζεται στο DOM είναι μια ευπάθεια που βρίσκεται στον πηγαίο κώδικα ενός ιστότοπου. Οι hackers εκμεταλλεύονται τα λεγόμενα injection points για να εισάγουν κώδικα στο DOM του προγράμματος περιήγησης (πηγαίο κώδικα της σελίδας) για να εκτελεί ανεπιθύμητες κακόβουλες λειτουργίες, όπως η κλοπή των cookies, χειρισμό περιεχομένου σελίδας, ανακατεύθυνση χρηστών κλπ.
Τo Trusted Types API θα εμποδίζει τέτοιες επιθέσεις επιτρέποντας στους ιδιοκτήτες των σελίδων να κλειδώνουν γνωστά “injection points” στον κώδικα ενός ιστότοπου που συχνά αποτελούν τη βασική αιτία του XSS που βασίζεται στο DOM.
Οι διαχειριστές ιστότοπων θα μπορούν να ενεργοποιήσουν την επικείμενη προστασία του Chrome Trusted Types, δίνοντας μια συγκεκριμένη τιμή στο Content Security Policy (CSP) HTTP response header.
Μόλις ενεργοποιηθεί, η πρόσβαση στα injection points του DOM θα περιορίζεται από το ενσωματωμένο Trusted Types API του Chrome, εμποδίζοντας τυχόν επιθέσεις πριν ο κώδικας του XSS αξιοποιήσει τον πηγαίο κώδικα της σελίδας DOM για να επιτεθεί στους χρήστες.
Ένα εκπαιδευτικό σεμινάριο σχετικά για τον τρόπο που μπορούν να ενεργοποιήσουν οι ιδιοκτήτες ιστοσελίδων το Trusted Types API μέσω του Content Security Policy (CSP) HTTP response header και τον τρόπο με τον οποίο οι χρήστες μπορούν να ρυθμίσουν τον Chrome να χρησιμοποιεί τις πρώτες εκδόσεις του API είναι διαθέσιμο στο blog των Google Developers.