Webserver-Filter gegen XSS-Attacken
Forscher an der University of Illinois haben mit Blueprint ein Addon geschaffen, das gefährlichen Code löschen soll, bevor er den Browser erreicht.
Forscher an der University of Illinois in Chicago haben eine neue Software entwickelt, die Cross-Site-Scripting-Angriffe (XSS) künftig leichter verhindern soll. Die Technik namens Blueprint ist als Addon für Webserver ausgeführt und filtert nutzergenerierte Inhalte vor der Auslieferung an den Browser auf Schwachstellen, berichtet Technology Review in seiner Online-Ausgabe.
Blueprint soll mit den acht wichtigen derzeit erhältlichen Browsern funktionieren, was 96 Prozent des aktuellen Marktes entspricht. Insgesamt 94 Arten von Cross-Site-Scripting-Angriffen, die im Web-Sicherheitsarchiv "XSS Cheat Sheet" gesammelt sind, wurden laut der Entwickler getestet und erfolgreich abgewehrt.
Blueprint lässt sich mit wenigen Arbeitsschritten installieren, liest ständig nutzergenerierten Code und checkt ihn gegen eine Whitelist, die vertrauenswürdige Scripts enthält. Möglicherweise schädliche Programmteile werden entfernt, bevor Inhalte im Browser erscheinen. Dann werden die Informationen entsprechend neu formatiert und an den Nutzer übertragen. Ungefährliche Inhalte sollen dagegen ohne Probleme durch den Filter wandern, sagen die Entwickler. Sie wollen ihre Software auf dem IEEE-Symposium für Sicherheit und Datenschutz, das in dieser Woche im kalifornischen Oakland stattfindet, näher vorstellen.
Mehr zum Thema in Technology Review online:
(bsc)
