Tính năng mới của Firefox 57. Nguồn: Bleeping Computer
Để ngăn chặn các cuộc tấn công XSS, Firefox 57 sẽ có thêm tính năng chống khai thác XSS, xem dữ liệu URL là nguồn duy nhất và không để xảy ra tình trạng kế thừa hay điều hướng. Do đó, dữ liệu URL được tải bên trong khung nội tuyến và có cùng nguồn với dữ liệu gốc.
XSS là một kiểu tấn công cho phép tin tặc chèn những đoạn chỉ lệnh (script) độc hại vào website và được thực thi trên trình duyệt của người dùng. Bằng cách nhúng toàn bộ mã độc vào dữ liệu URL, tin tặc có thể khởi chạy các cuộc tấn công XSS. Kỹ thuật này cho phép tin tặc đánh cắp tên người dùng, mật khẩu và thông tin bí mật khác từ người dùng.
Việc xử lý dữ liệu URL cho phép các nhà phát triển web trực tiếp khai thác nội tuyến các tệp nhỏ trong HTML hoặc CSS và đẩy thời gian tải trang nhanh hơn.
Do cơ chế này, trình duyệt không phải thực hiện các yêu cầu từ HTTP để nạp tài nguyên từ bên ngoài.
Mozilla cho biết, bắt đầu với Firefox 57, việc xử lý dữ liệu URL cho phép các nhà phát triển web trực tiếp khai thác nội tuyến các tệp nhỏ trong HTML hoặc CSS. Kỹ thuật này không chỉ làm giảm nguy cơ XSS và nâng chuẩn Firefox mà còn phù hợp với các trình duyệt khác.
Mozilla cũng giải thích rằng, các dữ liệu URL không tạo ra môi trường để tin tặc chèn script độc hại thì đều được xem là dữ liệu gốc. Dữ liệu URL có dính thẻ IMG cũng sẽ được xem như vậy.
Cùng thiết lập bảo mật mới này, Firefox 57 sẽ chặn mọi nỗ lực tiếp cận trang web từ các nguồn khác. Đối với Firefox 56 và các phiên bản trước đây, tính năng này vẫn có thể được áp dụng.
Việc tăng cường an ninh này đã được thông báo cùng thời điểm với kế hoạch ngừng hỗ trợ Windows XP và Vista từ tháng 6/2018 của Firefox. Vài tháng trước, Mozilla cũng đã thực hiện kích hoạt plug-in Adobe Flash nhằm tăng tính bảo mật cho người dùng Firefox.