CsFire защита от вредоносных междоменных запросов в Firefox.
Междоменное соединие просит описать запросы из одной области в другую. Типичным примером этого являются информация о другом домене, либо для отображения друзей пользователя на сайте, или даже для автоматического входа пользователя на сайт.
Но этот пример, очевидно, не совсем плохой.Есть два типа информации, которая делает запросы,что может быть проблемой для пользователей Интернет.
Первый тип информации – конфиденциальность и они связаны между собой. Информация может быть обменной о визите пользователя, так что другой домен получает информацию о том, что был визит на сайт. Это обычно используется в рекламных целях для отслеживания пользователей в Интернете.
Второй тип информации является более опасным, когда вредоносные или нежелательные действия вызваны кросс-доменным запросом, называемым подделльным запросом кросс-сайта.
CSRF считается очень опасным, о чем свидетельствует его рейтинг в OWASP 10 и КВО / SANS Top 25. Проблема с атакой CSRF заключается в том, что он делает запросы от имени пользователя без его ведома. Например, если сайт (например, example.com) делает скрытые запросы на другой сайт (например, myonlinebank.com), он потенциально может вызвать вредные последствия (перевод денежных средств, создание учетных записей, …).
Дополнение CsFire для Firefox защищает пользователей Интернета от вредоносных запросов между доменами.Дополнение CsFire в основном сводит их на нет и удаляет проверку подлинности информации, такие как куки и аутентификацию заголовка, чтобы исключить возможность просьбы от домена,которая может быть вредной для пользователей.
CsFire обеспечивает безопасную-по-умолчанию политику, которая может быть расширена удаленной политикой, а также местной политикой безопасности.Политика удаленной безопасности получает такую политику от сервера, выборочно разрешает определенные безвредные запросы,которые просит междоменный сайт (например, обмен товаров с Facebook). Локальные политики позволяют указать определенные запросы междоменного запроса, которые должны рассматриваться по-разному, если вы захотите это сделать(это не требуется в нормальных сценариях серфинга по сайтам).
CsFire базируется на академических исследованиях CsFire : прозрачный на стороне клиента для вредоносных кросс-доменных запросов,был опубликован по технике безопасности ПО и системы 2010 года.
CsFire дополнение доступно для всех версий Firefox Firefox от 3,5 до 4.0b7.