Hlavní navigace

Firefox odstraní z vlastních stránek volání funkce eval()

Sdílet

Petr Krčmář
Firefox logo

Prohlížeče zobrazují nejen webové stránky načtené z internetu, ale také celou řadu informačních stránek, které jsou součástí jejich kódu. Příkladem jsou různé about:stránky, které umožňují zobrazit či nastavit různé pokročilé vlastnosti prohlížeče. Vývojáři Firefoxu se rozhodli zvýšit bezpečnost kódu těchto stránek, aby nemohlo docházet k jejich zneužití. Jsou totiž napsány s pomocí HTML a JavaScriptu, takže jsou ohroženy stejně jako běžné weby například vložením cizího kódu.

Různé konfigurační stránky nebo i titulní stránka s nejnavštěvovanějšími weby totiž mají přístup k interním funkcím prohlížeče a jejich kompromitace by mohla mít rozsáhlé dopady na bezpečnost. Nejpřímější cestu k napadení pak představují části kódu obsahující volání funkce eval(), která by pak mohla provést injektovaný kód.

Vývojáři proto přepsali kód interních stránek tak, aby funkci eval() vůbec neobsahoval. Na základě těchto úprav pak mohli do stránek zavést silnou Content Security Policy (CSP), která blokuje spuštění vloženého kódu a tím stránku chrání. Další podobné kroky mají následovat, takto upraveny budou další prvky prohlížeče jako jsou nástrojové lišty. Na jejich kód je ale možné sahat až po úplném odstranění XUL a XBL.

(Zdroj: Mozilla.cz)

Našli jste v článku chybu?
Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?