Dan Kaminsky opublikował szczegóły rozwiązania chroniącego przed atakami XSS i SQL injection, którego założenia omówił na tegorocznej konferencji CONFidence 2010.

Projekt Interpolique to zbiór procedur, których podstawowym zadaniem jest unieszkodliwienie złośliwego kodu wstrzykiwanego w atakach takich jak Cross Site Scripting (XSS) czy SQL Injection. Według Kaminskiego źródłem tych ataków jest trudność w jednoznacznym określeniu typów danych przyjmowanych z zewnątrz i następnie przetwarzanych przez aplikację. Rozwiązaniem jest wyraźne rozgraniczenie typów - a więc jeśli coś jest tekstem to musi wyglądać jak tekst i być jako tekst opisane oraz interpretowane. Analogicznie z kodem JavaScript czy SQL.

Od strony technicznej rozwiązanie Kaminskiego jest proste - jako uniwersalny mechanizm dezaktywacji wykorzystuje on kodowanie BASE64. Każda porcja danych, która przychodzi z zewnątrz jest kodowana na ciąg BASE64 i w tej formie przemieszcza się wewnątrz aplikacji tam, gdzie z jej punktu widzenia powinna być traktowana jako pozbawiony znaczenia ciąg znaków. Jeśli trafia do bazy danych to dekodowana jest dopiero przez procedurę składowaną w bazie - dzięki temu może podlegać np. przeszukiwaniu ale gdyby zawierała wstrzyknięty kod SQL to będzie on traktowany jako zwykły tekst.

Obecna wersja biblioteki jest opublikowana w celu znalezienia potencjalnych luk w opracowanym przez Kaminskiego modelu.

recursion.com/interpolique.html