Content Security Policy: più sicurezza per i contenuti sul web

I contenuti attivi presenti sui siti web, come ad esempio Ja­va­Script, CSS e ActiveX, rap­pre­sen­ta­no un pericolo per gli utenti e per i gestori delle pagine web poiché potreste essere ma­ni­po­la­ti dai co­sid­det­ti Cross Site Scripting. Per fare sì che le pagine Internet possano essere uti­liz­za­te in modo esaustivo senza correre rischi, è stata in­tro­dot­ta la Content Security Policy (CSP). Questo standard di sicurezza, sup­por­ta­to dalla mag­gio­ran­za dei browser moderni, ha l’obiettivo di difendere i siti web dagli attacchi ci­ber­ne­ti­ci e, con­tem­po­ra­nea­men­te, di pro­teg­ge­re gli utenti. Ma cosa si nasconde dietro la CSP e come funziona?

La Content Security Policy ha origini nel 2014 ed era ini­zial­men­te co­no­sciu­ta con il nome di “Content Re­stric­tion”. La nascita di questo progetto è stata provocata dalla quantità crescente di falle di sicurezza negli script di Internet; in par­ti­co­la­re il Cross Site Scripting (XSS), un metodo criminale per far entrare clan­de­sti­na­men­te dei malware in un de­ter­mi­na­to sito web, molto rischioso per gli utenti.

Può infatti accadere che si apra un sito Internet con­si­de­ra­to af­fi­da­bi­le, ma poi viene eseguito uno script che carica dati dannosi da una fonte sco­no­sciu­ta. I criminali in­for­ma­ti­ci possono uti­liz­za­re a questo scopo le falle di sicurezza presenti, ad esempio, nella funzione di in­se­ri­men­to commenti di un sito web. In questo modo i ma­lin­ten­zio­na­ti possono riuscire ad ottenere l’accesso al PC dell’utente senza che questo se ne accorga. Neanche i webmaster riescono a capire im­me­dia­ta­men­te quand’è che un codice esterno entra clan­de­sti­na­men­te in un sito Internet.

Per ovviare a questo problema, Mozilla Foun­da­tion ha deciso di ac­ce­le­ra­re lo sviluppo della CSP. Il vantaggio degli standard di sicurezza consiste nel fatto che è possibile stabilire quali script devono essere eseguiti dal software e quali no. Per fare questo la Content Security Policy ricorre agli header HTTP.

Durante la tra­smis­sio­ne di in­for­ma­zio­ni tramite Internet, tra i client e i server avviene uno scambio di dati mediante l’Hypertext Transfer Protocol (HTTP). Una delle com­po­nen­ti prin­ci­pa­li delle request e delle response sono gli header HTTP: questi campi vengono uti­liz­za­ti per tra­smet­te­re parametri e argomenti, im­por­tan­ti per lo scambio dei dati tra emittente e ricevente, ossia tra client e server. Sono ge­ne­ral­men­te suddivisi in campi di richiesta e risposta e, ad esempio, possono contenere in­for­ma­zio­ni sul set di caratteri, sulla lingua e sui cookie. La CSP viene im­ple­men­ta­ta in qualità di campo di in­te­sta­zio­ne della risposta. Ciò significa che il server fornisce le in­for­ma­zio­ni e il browser le elabora.

L’header della Content Security Policy viene im­ple­men­ta­to dal webmaster e inserito in tutte le sot­to­pa­gi­ne del sito web a cui si desidera applicare lo standard di sicurezza. Il gestore del sito Internet, inoltre, ha la pos­si­bi­li­tà di stabilire prov­ve­di­men­ti per la sicurezza che si dif­fe­ren­zia­no da pagina a pagina. È possibile im­ple­men­ta­re il concetto di sicurezza più fa­cil­men­te creando un file .htaccess nelle stesse cartelle (o in quelle ge­rar­chi­ca­men­te più alte) delle pagine web cor­ri­spon­den­ti o ancorando la CSP di­ret­ta­men­te nella con­fi­gu­ra­zio­ne del server.

In una Content Security Policy e al fine di prevenire lo scripting tra siti diversi, i webmaster do­vreb­be­ro me­mo­riz­za­re tutti gli script in file separati e non in­cor­po­rar­li di­ret­ta­men­te nel codice sorgente del proprio sito Internet. Questo indica che la CSP funziona secondo il principio della whitelist: nell’header vengono elencate le fonti da cui è possibile caricare gli script e i dati. Dunque, nel momento in cui viene inserito uno script sco­no­sciu­to nel codice HTML della pagina, il browser dell’utente deve proibire il ca­ri­ca­men­to di dati esterni. Per im­po­sta­zio­ne pre­de­fi­ni­ta, la CSP blocca tutti gli script inseriti di­ret­ta­men­te nel codice (inline scripting). Questo protegge sia il sito web che gli utenti, e so­prat­tut­to i loro dati sensibili.

Per i cy­ber­cri­mi­na­li le ma­ni­po­la­zio­ni tramite Cross Site Scripting sono re­la­ti­va­men­te semplici da attuare. Infatti quasi tutti i siti Internet sono dotati di un campo di input, come ad esempio la funzione di in­se­ri­men­to commenti, la barra di ricerca o il campo per ef­fet­tua­re il login: in queste sezioni, invece di inserire delle semplici parole, spesso vengono eseguiti degli script.

Dunque, se il server non è cor­ret­ta­men­te cautelato, i criminali in­for­ma­ti­ci possono im­ple­men­ta­re in­ter­fac­ce di phishing, causare un blocco del sito web oppure uti­liz­za­re dei malware per ottenere il controllo dell’utente tramite browser. La CSP (o più pre­ci­sa­men­te: l’header cor­ri­spet­ti­vo) comunica al browser web da quali fonti è con­sen­ti­to caricare dei dati. Se la policy è im­ple­men­ta­ta nel codice del sito web, al tentativo di re­cu­pe­ra­re quel codice in­tro­dot­to tramite XSS viene risposto con un messaggio di errore.

Tramite l’utilizzo della Content Security Policy i webmaster possono mo­di­fi­ca­re numerose im­po­sta­zio­ni, ad esempio, tramite le seguenti direttive:

• base-uri: limita gli URL che possono comparire nell’elemento <base> della pagina web.
• child-src: sta­bi­li­sce le fonti da cui trarre i dati che possono apparire nei frame, ad esempio i video forniti da terzi.
• connect-src: limita le fonti alle quali il sito Internet può con­net­ter­si, ad esempio tramite link.
• font-src: sta­bi­li­sce da quali fonti possono essere caricati i font
• form-action: fornisce una lista di moduli endpoint validi.
• frame-ancestors: sta­bi­li­sce quali domini possono strut­tu­ra­re la pagina in frame e iFrame.
• img-src: sta­bi­li­sce da quali fonti possono essere caricate le immagini.
• media-src: determina da quali fonti possono essere caricati formati audio e video.
• object-src: controlla Flash e altri tipi di plug-in.
• plugin-types: limita le tipologie di plug-in.
• report-uri: specifica un URL a cui inviare i report in caso di vio­la­zio­ne delle misure di sicurezza.
• script-src: determina quali fonti sono con­sen­ti­te per Ja­va­Script.
• style-src: funziona come script-src, ma è usato per i fogli di stile.
• upgrade-insecure-requests: sta­bi­li­sce che le pagine HTTP non protette vengano con­si­de­ra­te come pagine HTTPS.
• sandbox: sposta la pagina in un sandbox in cui sono vietati moduli, pop-up e script.

Queste direttive sono valide solo se espli­ci­ta­men­te ri­co­no­sciu­te, al­tri­men­ti restano aperte di default, co­sti­tuen­do così una falla di sicurezza nel sistema. Tuttavia tramite il default-src è possibile eludere questo problema: con questo metodo si sta­bi­li­sco­no le im­po­sta­zio­ni di tutte le direttive che terminano con -src. Ad esempio, è possibile stabilire che il proprio sito Internet carichi soltanto i dati, a meno che non sia stato spe­ci­fi­ca­to di­ver­sa­men­te nel­l'hea­der HTTP di una singola pagina. Nelle direttive spe­ci­fi­che, inoltre, è possibile anche ag­giun­ge­re atre fonti.

Nell’header è possibile immettere un numero po­ten­zial­men­te infinito di direttive. Se si desidera includere più direttive, è ne­ces­sa­rio separarle con punto e virgola. Inoltre, il webmaster deve spe­ci­fi­ca­re tutte le sorgenti e le fonti all’interno di una direttiva. Non sono con­sen­ti­te citazioni multiple delle stesse direttive con fonti ag­giun­ti­ve. L’esempio seguente mostra un comando non ammesso: