Firefox und Chrome bekommen neuen Skript-Schutz

Die Browser von Mozilla und Google sollen in naher Zukunft einen integrierten Skript-Schutz erhalten, der die Ausführung manipulierter Skripte verhindert. Die von François Marier, Senior Software Engineer bei Mozilla, auf einer Sicherheitskonferenz in Australien vorgestellte Technik erkennt Skripte an einem eindeutigen Hash-Wert.

Wird ein auf einer Webseite eingesetztes Skript durch etwa einen Hacker verändert, dann ändert sich auch der Hash-Wert. Die Browser erkennen die Manipulation und blockieren das betreffende Skript anschließend automatisch, so Marier.

Der sogenannte SRI-Check (Subresource Integrity) wird von Mitarbeitern von Mozilla, Google und Dropbox entwickelt. Er soll noch in diesem Monat in den Entwicklerversionen der beiden Browser integriert werden. In etwa drei Monaten wird er dann für alle Anwender zur Verfügung stehen. Bei Firefox wird das voraussichtlich Version 41 sein. Aktuell ist Firefox 38.0.5.

Der SRI-Check soll auch schützen, wenn es einem Angreifer zum Beispiel gelingt, den DNS-Server eines Anwenders zu manipulieren. Der Browser lädt dann möglicherweise Skripte von einer anderen Seite herunter als vom Entwickler einer Webseite eigentlich vorgesehen. Bei der Vielzahl an derzeit gefundenen Sicherheitslücken in DSL-Routern ist es nicht so unwahrscheinlich, dass es einem Hacker gelingt in einen Router einzudringen und die DNS-Einträge zu verändern.