форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Проект Mozilla представил протокол Plug-n-Hack"	+/–
Сообщение от opennews (ok) on 25-Авг-13, 23:11
Разработчики из проекта Mozilla выступили с инициативой (https://blog.mozilla.org/security/2013/08/22/plug-n-hack/) продвижения нового протокола Plug-n-Hack, нацеленного на предоставление средств для интеграции с браузером инструментов для исследования безопасности.  Plug-n-Hack  позволят упростить и унифицировать процесс подключения к различным браузерам компонентов, способных контролировать потоки обрабатываемой информации и тестировать безопасность, не требуя при этом написания специфичных для каждого браузера дополнений. Например, для анализа HTTP/HTTPS-трафика применяются внешние инструменты, которые запускаются и настраиваются отдельно, но, как правило, используются бок о бок с браузером, что приводит к необходимости многократного переключения между утилитой и браузером. Plug-n-Hack позволяет интегрировать поддержку обращения к подобным инструментам непосредственно в браузер. Для организации потоков данных в Plug-n-Hack используются уже поддерживаемые механизмы, напоминающие организацию работы через прокси-сервер, вместо которого выступают инструменты для анализа безопасности. Текущая реализация протокола позволяет приложениям сообщать браузеру о своих возможностях, которые могут вызываться из браузера, передавать настройки прокси, SSL-сертификат и список обрабатываемых команд. В дальнейшем, исследователь безопасности, подключивший инструмент через Plug-n-Hack, может обращаться к нему непосредственно из консоли для web-разработчика и сразу просматривать результат. Из планов на будущее также отмечается реализация  средств для решения обратной задачи: браузер сможет декларировать список своих возможностей в рамках протокола Plug-n-Hack, что позволит задействовать браузер в качестве дополнения к внешнему приложению. <center><a href="https://lh6.googleusercontent.com/Zfp0TAfswgxVDrm2Ex5i0tXmD3... src="https://www.opennet.ru/opennews/pics_base/0_1377456432.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center> В настоящее время поддержка протокола Plug-n-Hack уже доступна для Firefox. Разработчики надеются, что производители других браузеров присоединятся к инициативе и добавят поддержку Plug-n-Hack в свои продукты. В инструментах для исследования безопасности достаточно будет реализовать поддержку Plug-n-Hack, чтобы полностью автоматизировать настройку интеграции инструмента  с  любым браузером, поддерживающего предложенный протокол. Среди инструментов для которых уже обеспечена поддержка Plug-n-Hack отмечается система всестороннего анализа веб-сайта на уязвимости OWASP Zed Attack Proxy (https://www.opennet.ru/opennews/art.shtml?num=34844). URL: https://blog.mozilla.org/security/2013/08/22/plug-n-hack/ Новость: https://www.opennet.ru/opennews/art.shtml?num=37743
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
Сообщение от lucentcode (ok) on 25-Авг-13, 23:11
Интересное начинание. Надеюсь, данный протокол добавят в Chromium. Удобно запускать нужные утилиты из браузера, а не переключаться по сто раз в консоль и обратно. Почему-то мне кажется, что таким образом будут подключать не только приложения для исследования безопасности, но и приложения для разработки и деплоя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Проект Mozilla представил протокол Plug-n-Hack"	+8 +/–
	Сообщение от Аноним (??) on 26-Авг-13, 01:01
	Ага, ботмейкеры думается оценят.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	17. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Xasd (ok) on 26-Авг-13, 12:35
	а зачем ботам нужен браузер? :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	23. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от cdecl on 26-Авг-13, 16:37
	как же зачем? откуда им еще в сеть выходить? ну и mitm выходит писать станет еще проще
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	26. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Xasd (ok) on 26-Авг-13, 16:48
	ну вот например -- Google выпустила библиотеку -- Gumbo (а до Gumbo -- была и ещё целая куча её аналогов :)).. самое то для ботоводов :)
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	39. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от arisu (ok) on 30-Авг-13, 12:50
	> а до Gumbo — была и ещё целая куча её аналогов аналоги не покажешь, а, умник? хоть штучки три. чтобы на C и без дополнительных зависимостей? или ты как всегда вякнул ерунду?
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	35. "Проект Mozilla представил протокол Plug-n-Hack"	+1 +/–
	Сообщение от Аноним (??) on 27-Авг-13, 03:54
	> а зачем ботам нужен браузер? :) Ну вот например спамботы совсем не откажутся залогиниться через браузер и потом делать свое черное дело, да? :)
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

2. "Проект Mozilla представил протокол Plug-n-Hack"	+2 +/–
Сообщение от Аноним (??) on 25-Авг-13, 23:48
сокращенно - ПНХ (PnH). соотечественники оценят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Проект Mozilla представил протокол Plug-n-Hack"	+13 +/–
	Сообщение от Аноним (??) on 26-Авг-13, 08:29
	какой интеллект - такие и шутки
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Проект Mozilla представил протокол Plug-n-Hack"	–3 +/–
Сообщение от Crazy Alex (ok) on 25-Авг-13, 23:58
ДА!!!! Плевать на собственно исследования безопасности - но из этого же получится нормальная интеграция браузера в систему. Давно пора.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Проект Mozilla представил протокол Plug-n-Hack"	+3 +/–
	Сообщение от YetAnotherOnanym (ok) on 26-Авг-13, 01:33
	Спасибо, мы это уже проходили. (Или это был сарказм?)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Crazy Alex (ok) on 26-Авг-13, 01:54
	Никакого сраказма. Сейчас браузер - это такая вешь в себе, с расширениями, которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке. Если можно будет стандартным образом вклиниваться в браузер извне - можно будет, скажем, алгоритмику кеширования ему сильно подкрутить - так, как сейчас бразуеры сделать не позволяют.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Lain_13 (ok) on 26-Авг-13, 02:10
	А кто тебе мешает влезть в сорцы и подкрутить на своё усмотрение прямо сейчас?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	11. "Проект Mozilla представил протокол Plug-n-Hack"	+3 +/–
	Сообщение от Crazy Alex (ok) on 26-Авг-13, 05:52
	Танунафиг, заглядывал я в те сорцы. Там довольно сложная архитектура, даже если б за деньги - довольно долго думал бы, соглашаться ли. Вебкит чуть приличнее, но сама область такая, что простого там быть не может, похоже. Ну и кроме того - одно дело - иметь стандартный инфтерфейс, и совсем другое - патчить каждую новую версию браузера.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	16. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Аноним (??) on 26-Авг-13, 09:57
	Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск??? Или это был абстрактный конь в ваакуме?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	18. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Xasd (ok) on 26-Авг-13, 12:37
	> Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск??? > Или это был абстрактный конь в ваакуме? это уж точно. вот что-что а кэш в браузерах работает как надо. кроме исследований безопасности и всяких разных обратных инженерингов -- врядли можно придумать другое полезное примерение для PnH.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	20. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Аноним (??) on 26-Авг-13, 14:49
	>> Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск??? Тю? >> Или это был абстрактный конь в ваакуме? > это уж точно. вот что-что а кэш в браузерах работает как надо. Тю?
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	24. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Crazy Alex (ok) on 26-Авг-13, 16:43
	Поправка - оно работает как надо если используется  в ожидаемых условиях. ЧТо обычно означает - при постоянно доступном интернете. Если же у нас что-то нестабильное - GPRS, или в поезде свзяь то появляется, то исчезает - то хотелось бы СОВСЕМ другое поведение - в зависимости от сайта, конечно. В частности - никаких "If Modified" на статику, при превышении како-то таймаута - отдача вместо графики плейсхолдеров, а в некоторых случаях, по запросу - полного кеширования страницы вне зависимости от заголовков, мета-тегов и прочего. А применения можно придумать наверняка, но там надо копать, что еще они сделают доступным для инструмента. Пока виден только альтренативнй механизм проксирования, не меашющий тому, что может быть в браузере и не конфоиктующий с чем-то вроде FoxyProxy, ну и плюс возможность выкинуть дублирующее хранилище сертификатов из браузера и пользоваться только системным - лично у меня в этом плане к маинтайнерам Debian доверие несколько побольше, чем к мозилловцам, скажем.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	27. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Xasd (ok) on 26-Авг-13, 16:51
	> В частности - никаких "If Modified" на статику.. надеюсь ты осознаёшь -- что ты хочешь взять данные из кэша -- через нарушение протокола HTTP?! (и в целом через нарушение WWW-принципов) если браузер не посылает -- If Modified -- то как тогда браузер узнает о том что было ВНЕЗАПНОЕ изменение статических данных? вообще-то для твоей цели -- есть раздел стандарта под названием -- "Offline Web Applications" .. и в данном случае в качестве этих "Offline Web Applications" очень походят: форумы, новостные сайты, блоги, www-клиенты электронной почты, и т д... ...осталось только уговорить создателей стайтов использовать эту спецификацию. :-) надеюсь ты уже написал письмо на электронную почту хозяевам сайтов, а иначем как они тогда узнают о том что тебе нужно "Offline Web Applications"? :)
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	31. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Crazy Alex (ok) on 26-Авг-13, 19:19
	Конечно осознаю. Больше того - и чем чревато в в курсе, как давний пользователь той же Оперы - ещё на диалапе. Поинт как раз в том, что сей хак позволит мне более-менее безболезненно читать эти самые форумы прямо СЕЙЧАС, без уговоров их хозяев на следование еще одной ненужной им (потому что таких, как я - мало) спецификации. И, кстати, я сильно не уверен, что спецификации дают возможность корректно обработать состояние нестабильной связи с рвущимися соединениями и возвращенными кусками файлов. Тормозов с рендерингом это точно прибавляет немало.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	41. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от arisu (ok) on 30-Авг-13, 12:53
	вообще-то это решается простым самопальным проксиком. проксь «для себя» на коленке пишется за пару часов, и никто не мешает в нём играть заголовками, как тебе угодно.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

	25. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Crazy Alex (ok) on 26-Авг-13, 16:45
	Другими словами - видели как кеширование в какой-нибудь Опере 6 было? Когда страница из сети обновлялась только явному запросу, а так - ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети - вот такое на файрфоксе не сделать сейчас без вмешательства в код.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	28. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Xasd (ok) on 26-Авг-13, 16:58
	> ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети и даже XMLHttpRequest производился без обращения к сети?? :-)
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	29. "Проект Mozilla представил протокол Plug-n-Hack"	+3 +/–
	Сообщение от бедный буратино (ok) on 26-Авг-13, 17:04
	>> ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети > и даже XMLHttpRequest производился без обращения к сети?? :-) В шестой опере?
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	30. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Xasd (ok) on 26-Авг-13, 19:09
	:-)
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	22. "Проект Mozilla представил протокол Plug-n-Hack"	+1 +/–
	Сообщение от Аноним (??) on 26-Авг-13, 16:32
	> с расширениями, которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке ещё один дурак не нашёл времени вникнуть в NPAPI, зато нашёл время брякнуть чушь в комментах
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	32. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Crazy Alex (ok) on 26-Авг-13, 19:23
	Дурак - это тот, кто не понимает разницу между ПЛАГИНОМ, который управляет браузер, и ИНТЕРФЕЙСОМ, взаимодействием с которым управляет внешняя система.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	40. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от arisu (ok) on 30-Авг-13, 12:51
	> Никакого сраказма. Сейчас браузер - это такая вешь в себе, с расширениями, > которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке. а вот если в браузер наконец интегрируют ядро ОС и графическую подсистему — будет ДА!
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Проект Mozilla представил протокол Plug-n-Hack"	+6 +/–
Сообщение от Аноним (??) on 26-Авг-13, 01:57
Хоть кто-то об удобстве хакеров беспокоится.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
Сообщение от Аноним же on 26-Авг-13, 08:49
Ага, заодно дыры расширят похоже)))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Проект Mozilla представил протокол Plug-n-Hack"	+1 +/–
	Сообщение от Онамин on 26-Авг-13, 09:13
	Ага, заодно дыры расшарят похоже))) //fixed
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
Сообщение от Аноним (??) on 26-Авг-13, 09:12
круто
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
Сообщение от Аноним (??) on 26-Авг-13, 23:53
Теперь нажимая "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" юзвери смогут устанавливать не только кучу тулбаров, нестандартных неудаляемых поисковиков и целых браузеров, а и сниферы и пр. штучки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	34. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Crazy Alex (ok) on 27-Авг-13, 03:15
	Туда и дорога. В Нормальных Системах этой мути просто нет.
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	36. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от oWeRQ (ok) on 27-Авг-13, 13:21
	Что за "Нормальные Системы" без снифферов и сканеров безопасности?
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

	38. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Crazy Alex (ok) on 27-Авг-13, 19:07
	Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" - в линуксе их, знаете ли, как-то не завезли.
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

	42. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от tessel on 03-Сен-13, 15:35
	> Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" > - в линуксе их, знаете ли, как-то не завезли. Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы. Вы просто не понимаете пока, как тонко на этом вас можно поиметь.
	Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

	43. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от arisu (ok) on 03-Сен-13, 16:10
	> Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы. > Вы просто не понимаете пока, как тонко на этом вас можно > поиметь. ну так открой же нам глаза! естественно, с PoC'ом, потому что рассказы по типу «а вот если у маинтайнера украдут все ключи…» должны сопровождаться или этими самыми ключами, или скомпрометированными пакетами в репозиториях. и все другие страшилки тоже.
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

	37. "Проект Mozilla представил протокол Plug-n-Hack"	+/–
	Сообщение от Аноним (??) on 27-Авг-13, 15:41
	> Туда и дорога. В Нормальных Системах этой мути просто нет. Windows 8?
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема