Google ตั้งเป้าลดปัญหา XSS บนโลก เปิดเครื่องมือตรวจสอบการป้องกัน XSS ให้ใช้ฟรี!

Cross Site Scripting นั้นยังคงเป็นวิธีการที่ใช้โจมตีเว็บไซต์ต่างๆ กันมาอย่างต่อเนื่องโดยตลอด และ Google ต้องการช่วยเหล่านักพัฒนาเว็บไซต์ทั่วโลกให้ก้าวข้ามปัญหานี้ไปให้ได้ด้วยเครื่องมือแบบฟรีๆ

google_csp_evaluator

Google นั้นต้องการจะลดปัญหาของเว็บไซต์ต่างๆ ที่ถูกพัฒนาขึ้นมาและมีช่องโหว่ Cross Site Scripting (XSS) ด้วยการส่งเสริมให้มีการกำหนดค่า Content Security Policy (CSP) ให้มีความถูกต้องแม่นยำและสามารถปกป้องเว็บไซต์ให้ปลอดภัยได้มากขึ้น เพราะที่ผ่านมาถึงแม้ CSP จะเป็นหนึ่งในวิธีการที่มีประสิทธิภาพ แต่การกำหนดค่าของ CSP ให้ดีนั้นก็ยังถือเป็นเรื่องยาก โดย Google นั้นพบว่าเว็บไซต์กว่า 95% จากกว่า 1,000 ล้านโดเมนทั่วโลกนั้น กำหนดค่า CSP เอาไว้อย่างไร้ประสิทธิภาพและไม่สามารถป้องกัน XSS ได้เลย และบางเว็บก็เป็นเว็บที่ให้บริการซึ่งเป็นที่ชื่นชอบของเหล่านักพัฒนาด้วย (Google ไม่ได้ระบุว่าเป็นเว็บอะไร)

ด้วยเหตุดังกล่าว Google จึงได้ทำการเปิดตัว CSP Evaluator เพื่อให้เหล่านักพัฒนาเว็บไซต์สามารถตรวจสอบประสิทธิภาพของ CSP ในเว็บที่ตัววเองใช้ได้ทันที พร้อมชี้จุดอ่อนว่าควรปรับปรุงอะไรที่ตรงไหนบ้าง โดยมีบริการให้ใช้ได้ฟรีๆ บนหน้าเว็บและ Chrome Extension ให้เข้าไปใช้กันได้เลยที่ https://csp-evaluator.withgoogle.com/ นะครับ

เครื่องมือ CSP Evaluator นี้ได้ถูกนำไปใช้ในผลิตภัณฑ์หลากหลายของ Google เองมาแล้วไม่ว่าจะเป็น Cloud Console, Photos, History, Careers Search, Maps Timeline หรือ Cultural Institute ก็ตามและพบว่าได้ผลดี รวมถึงยังได้เปิดตัวคู่มือ Best Strategies for Implementing CSP ให้อ่านกันฟรีๆ ที่ https://csp.withgoogle.com/docs/strict-csp.html อีกด้วย

นอกจากนี้ Google ก็ยังได้เปิดตัว CSP Mitigator ที่ https://chrome.google.com/webstore/detail/csp-mitigator/gijlobangojajlbodabkpjpheeeokhfa โดยเป็น Chrome Extension สำหรับช่วยให้เหล่านักพัฒนาสามารถทำการ Review Application ของตนในประเด็นของ Compatibility กับ Nonce-based CSP ได้ เพื่อจะได้สามารถทำการ Refactor โค้ดให้ปลอดภัยได้ยิ่งขึ้น

สุดท้ายนี้ Google ก็ยังมีรางวัลให้กับเหล่าโครงการ Open Source ที่พัฒนา Patch อุดช่องโหว่ของตนให้ปลอดภัยมากยิ่งขึ้นที่ https://www.google.com/about/appsecurity/patch-rewards/ ซึ่งประเด็นของ CSP เองนี้ก็จะถูกรวมเข้าไปเป็นส่วนหนึ่งของโครงการนี้ด้วยเช่นกัน

ที่มา: https://security.googleblog.com/2016/09/reshaping-web-defenses-with-strict.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalkThai คว้ารางวัลในงาน Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

บริษัทเทคทอล์กไทยกรุ๊ป จำกัด (TechTalkThai) โดยคุณสุธีร์ กิจเจริญการกุล ผู้ร่วมก่อตั้งและประธานบริษัทฯ ได้รับเกียรติเข้ารับมอบโล่รางวัลดีเด่น ในฐานะหน่วยงานให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศดีเด่น Cybersecurity Excellence Award (Supporting) ภายในงาน Prime Minister …

ขอเชิญร่วมงานสัมมนาออนไลน์ “Software Talk EP.7 ในหัวข้อ “ โปรแกรม VanDyke SecureCRT & SecureFX โปรแกรมป้องกันการรับส่งข้อมูลที่ฮิตที่สุด ”

ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์ Software Talk EP.7 ในหัวข้อ “ โปรแกรม VanDyke SecureCRT & SecureFX โปรแกรมป้องกันการรับส่งข้อมูลที่ฮิตที่สุด ” โดยงานจะจัดขึ้นในวันศุกร์ที่ 19 …