Michele Spagnuolo Relatore

Lista Talk

• So we broke all CSPs... You won't guess what happened next! L'anno scorso abbiamo dimostrato che l'approccio basato su whitelist della Content Security Policy (CSP) è intrinsecamente fallato e proposto un'alternativa basata su una nuova direttiva - 'strict-dynamic' - in combinazione con nonce crittografici o hash. Il nuovo approccio rende CSP radicalmente più semplice da adottare e, allo stesso tempo, consente di esprimere il potenziale mitigativo contro attacchi di tipo Cross-Site Scripting (XSS). Nel nostro paper accademico (CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy, ACM CCS, 2016), abbiamo mostrato che il 94.72% di tutte le policy del web possono essere facilmente bypassate da un attaccante con un bug XSS. In più, il 75.81% è bypassabile proprio a causa della presenza di una whitelist. Grazie al nuovo approccio basato su 'strict-dynamic', Google ha potuto per la prima volta adottare CSP in prodotti complessi come GMail, Accounts e Google Photos. Nella presentazione mostrerò errori comuni e come evitarli, spiegando infine come stiamo affrontando la recente serie di bypass per policy nonce-based via esfiltrazione del nonce e attacchi dangling markup. - 15:15/16:00, 06 May 2017