Обновление Firefox: Mozilla внедряет Trusted Types для защиты от межсайтового скриптинга

Mozilla объявила о планах внедрения технологии безопасности веба под названием Trusted Types в своем браузере Firefox. Этот шаг направлен на уменьшение риска атак, основанных на внедрении вредоносного кода. В Firefox заявили о позитивном отношении компании к технологии после тщательного анализа.

Trusted Types , впервые представленные в Chrome и Edge в мае 2020 года, предназначены для борьбы с XSS-атаками XSS (межсайтовый скриптинг), являющимися одними из наиболее опасных и распространенных в Интернете. Такие атаки, занимавшие первое место в рейтинге OWASP Top Ten в 2017 году , к 2021 году опустились на третью позицию, и предполагается, что их распространенность снизится благодаря внедрению Trusted Types.

Trusted Types — это технология безопасности веба, внедренная в стандарты браузеров для борьбы с уязвимостями межсайтового скриптинга (XSS), особенно связанными с Document Object Model (DOM). Она предоставляет API, который позволяет веб-приложениям ограничивать доступ к потенциально опасным DOM API, таким как innerHTML, outerHTML, document.write и другим, которые могут быть использованы для выполнения вредоносного кода.

Вместо прямой вставки строк, которые могут содержать вредоносный код, Trusted Types требует, чтобы данные обрабатывались через специальные объекты — «доверенные типы» (Trusted Types). Эти типы включают TrustedHTML, TrustedScriptURL, TrustedScript и другие, которые обеспечивают, что данные, передаваемые в опасные DOM API, были проверены и обработаны должным образом, чтобы предотвратить XSS-атаки.

Разработчики могут создавать эти «доверенные» типы с помощью специальных создателей, что позволяет им контролировать и фильтровать пользовательский ввод или любые данные, которые могут быть использованы для атаки. Trusted Types интегрируются с Политикой безопасности содержимого (CSP), позволяя администраторам сайта настраивать политики безопасности, которые могут обеспечивать применение правил Trusted Types на уровне всего сайта.

Google отмечает снижение риска DOM-XSS атак на своих сайтах благодаря внедрению Trusted Types. В 2018 году XSS-атаки составляли 30% всех уязвимостей в программе Bug Bounty, в то время как к 2023 году этот показатель снизился до 4,1%.

Компания Meta* также выразила поддержку технологии, отметив, что более широкое внедрение Trusted Types на веб-сайтах будет полезно для всей веб-платформы. В организации Open Source подчеркнули полезность Trusted Types после внедрения опции в веб-приложение, отметив, что технология помогает идентифицировать потенциальные точки для межсайтового скриптинга.

Несмотря на то, что Trusted Types пока поддерживается не всеми браузерами, разработчики веб-приложений должны адаптировать свой код для защиты от XSS-атак, так как ожидается, что Firefox, Safari и другие браузеры в конечном итоге включат эту технологию.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.