The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проект Mozilla представил протокол Plug-n-Hack"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от opennews (ok) on 25-Авг-13, 23:11 
Разработчики из проекта Mozilla выступили с инициативой (https://blog.mozilla.org/security/2013/08/22/plug-n-hack/) продвижения нового протокола Plug-n-Hack, нацеленного на предоставление средств для интеграции с браузером инструментов для исследования безопасности.  Plug-n-Hack  позволят упростить и унифицировать процесс подключения к различным браузерам компонентов, способных контролировать потоки обрабатываемой информации и тестировать безопасность, не требуя при этом написания специфичных для каждого браузера дополнений.


Например, для анализа HTTP/HTTPS-трафика применяются внешние инструменты, которые запускаются и настраиваются отдельно, но, как правило, используются бок о бок с браузером, что приводит к необходимости многократного переключения между утилитой и браузером. Plug-n-Hack позволяет интегрировать поддержку обращения к подобным инструментам непосредственно в браузер. Для организации потоков данных в Plug-n-Hack используются уже поддерживаемые механизмы, напоминающие организацию работы через прокси-сервер, вместо которого выступают инструменты для анализа безопасности.


Текущая реализация протокола позволяет приложениям сообщать браузеру о своих возможностях, которые могут вызываться из браузера, передавать настройки прокси, SSL-сертификат и список обрабатываемых команд. В дальнейшем, исследователь безопасности, подключивший инструмент через Plug-n-Hack, может обращаться к нему непосредственно из консоли для web-разработчика и сразу просматривать результат. Из планов на будущее также отмечается реализация  средств для решения обратной задачи: браузер сможет декларировать список своих возможностей в рамках протокола Plug-n-Hack, что позволит задействовать браузер в качестве дополнения к внешнему приложению.

<center><a href="https://lh6.googleusercontent.com/Zfp0TAfswgxVDrm2Ex5i0tXmD3... src="http://www.opennet.ru/opennews/pics_base/0_1377456432.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>

В настоящее время поддержка протокола Plug-n-Hack уже доступна для Firefox. Разработчики надеются, что производители других браузеров присоединятся к инициативе и добавят поддержку Plug-n-Hack в свои продукты. В инструментах для исследования безопасности достаточно будет реализовать поддержку Plug-n-Hack, чтобы полностью автоматизировать настройку интеграции инструмента  с  любым браузером, поддерживающего предложенный протокол. Среди инструментов для которых уже обеспечена поддержка Plug-n-Hack отмечается система всестороннего анализа веб-сайта на уязвимости OWASP Zed Attack Proxy (http://www.opennet.ru/opennews/art.shtml?num=34844).

URL: https://blog.mozilla.org/security/2013/08/22/plug-n-hack/
Новость: http://www.opennet.ru/opennews/art.shtml?num=37743

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от lucentcode (ok) on 25-Авг-13, 23:11 
Интересное начинание. Надеюсь, данный протокол добавят в Chromium. Удобно запускать нужные утилиты из браузера, а не переключаться по сто раз в консоль и обратно. Почему-то мне кажется, что таким образом будут подключать не только приложения для исследования безопасности, но и приложения для разработки и деплоя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Проект Mozilla представил протокол Plug-n-Hack"  +8 +/
Сообщение от Аноним (??) on 26-Авг-13, 01:01 
Ага, ботмейкеры думается оценят.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Xasd (ok) on 26-Авг-13, 12:35 
а зачем ботам нужен браузер? :)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от cdecl on 26-Авг-13, 16:37 
как же зачем? откуда им еще в сеть выходить?
ну и mitm выходит писать станет еще проще
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Xasd (ok) on 26-Авг-13, 16:48 
ну вот например -- Google выпустила библиотеку -- Gumbo (а до Gumbo -- была и ещё целая куча её аналогов :))..

самое то для ботоводов :)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

39. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от arisu (ok) on 30-Авг-13, 12:50 
> а до Gumbo — была и ещё целая куча её аналогов

аналоги не покажешь, а, умник? хоть штучки три. чтобы на C и без дополнительных зависимостей? или ты как всегда вякнул ерунду?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Проект Mozilla представил протокол Plug-n-Hack"  +1 +/
Сообщение от Аноним (??) on 27-Авг-13, 03:54 
> а зачем ботам нужен браузер? :)

Ну вот например спамботы совсем не откажутся залогиниться через браузер и потом делать свое черное дело, да? :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

2. "Проект Mozilla представил протокол Plug-n-Hack"  +2 +/
Сообщение от Аноним (??) on 25-Авг-13, 23:48 
сокращенно - ПНХ (PnH). соотечественники оценят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Проект Mozilla представил протокол Plug-n-Hack"  +13 +/
Сообщение от Аноним (??) on 26-Авг-13, 08:29 
какой интеллект - такие и шутки
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Проект Mozilla представил протокол Plug-n-Hack"  –3 +/
Сообщение от Crazy Alex (ok) on 25-Авг-13, 23:58 
ДА!!!! Плевать на собственно исследования безопасности - но из этого же получится нормальная интеграция браузера в систему. Давно пора.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Проект Mozilla представил протокол Plug-n-Hack"  +3 +/
Сообщение от YetAnotherOnanym (ok) on 26-Авг-13, 01:33 
Спасибо, мы это уже проходили. (Или это был сарказм?)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Crazy Alex (ok) on 26-Авг-13, 01:54 
Никакого сраказма. Сейчас браузер - это такая вешь в себе, с расширениями, которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке. Если можно будет стандартным образом вклиниваться в браузер извне - можно будет, скажем, алгоритмику кеширования ему сильно подкрутить - так, как сейчас бразуеры сделать не позволяют.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Lain_13 email(ok) on 26-Авг-13, 02:10 
А кто тебе мешает влезть в сорцы и подкрутить на своё усмотрение прямо сейчас?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Проект Mozilla представил протокол Plug-n-Hack"  +3 +/
Сообщение от Crazy Alex (ok) on 26-Авг-13, 05:52 
Танунафиг, заглядывал я в те сорцы. Там довольно сложная архитектура, даже если б за деньги - довольно долго думал бы, соглашаться ли. Вебкит чуть приличнее, но сама область такая, что простого там быть не может, похоже.

Ну и кроме того - одно дело - иметь стандартный инфтерфейс, и совсем другое - патчить каждую новую версию браузера.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Аноним (??) on 26-Авг-13, 09:57 
Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск??? Или это был абстрактный конь в ваакуме?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Xasd (ok) on 26-Авг-13, 12:37 
> Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск???
> Или это был абстрактный конь в ваакуме?

это уж точно. вот что-что а кэш в браузерах работает как надо.

кроме исследований безопасности и всяких разных обратных инженерингов -- врядли можно придумать другое полезное примерение для PnH.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Аноним (??) on 26-Авг-13, 14:49 
>> Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск???

Тю?

>> Или это был абстрактный конь в ваакуме?
> это уж точно. вот что-что а кэш в браузерах работает как надо.

Тю?


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Crazy Alex (ok) on 26-Авг-13, 16:43 
Поправка - оно работает как надо если используется  в ожидаемых условиях. ЧТо обычно означает - при постоянно доступном интернете.

Если же у нас что-то нестабильное - GPRS, или в поезде свзяь то появляется, то исчезает - то хотелось бы СОВСЕМ другое поведение - в зависимости от сайта, конечно. В частности - никаких "If Modified" на статику, при превышении како-то таймаута - отдача вместо графики плейсхолдеров, а в некоторых случаях, по запросу - полного кеширования страницы вне зависимости от заголовков, мета-тегов и прочего.

А применения можно придумать наверняка, но там надо копать, что еще они сделают доступным для инструмента. Пока виден только альтренативнй механизм проксирования, не меашющий тому, что может быть в браузере и не конфоиктующий с чем-то вроде FoxyProxy, ну и плюс возможность выкинуть дублирующее хранилище сертификатов из браузера и пользоваться только системным - лично у меня в этом плане к маинтайнерам Debian доверие несколько побольше, чем к мозилловцам, скажем.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

27. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Xasd (ok) on 26-Авг-13, 16:51 
> В частности - никаких "If Modified" на статику..

надеюсь ты осознаёшь -- что ты хочешь взять данные из кэша -- через нарушение протокола HTTP?! (и в целом через нарушение WWW-принципов)

если браузер не посылает -- If Modified -- то как тогда браузер узнает о том что было ВНЕЗАПНОЕ изменение статических данных?

вообще-то для твоей цели -- есть раздел стандарта под названием -- "Offline Web Applications" .. и в данном случае в качестве этих "Offline Web Applications" очень походят: форумы, новостные сайты, блоги, www-клиенты электронной почты, и т д...

...осталось только уговорить создателей стайтов использовать эту спецификацию. :-)

надеюсь ты уже написал письмо на электронную почту хозяевам сайтов, а иначем как они тогда узнают о том что тебе нужно "Offline Web Applications"? :)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

31. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Crazy Alex (ok) on 26-Авг-13, 19:19 
Конечно осознаю. Больше того - и чем чревато в в курсе, как давний пользователь той же Оперы - ещё на диалапе.

Поинт как раз в том, что сей хак позволит мне более-менее безболезненно читать эти самые форумы прямо СЕЙЧАС, без уговоров их хозяев на следование еще одной ненужной им (потому что таких, как я - мало) спецификации.

И, кстати, я сильно не уверен, что спецификации дают возможность корректно обработать состояние нестабильной связи с рвущимися соединениями и возвращенными кусками файлов. Тормозов с рендерингом это точно прибавляет немало.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

41. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от arisu (ok) on 30-Авг-13, 12:53 
вообще-то это решается простым самопальным проксиком. проксь «для себя» на коленке пишется за пару часов, и никто не мешает в нём играть заголовками, как тебе угодно.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

25. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Crazy Alex (ok) on 26-Авг-13, 16:45 
Другими словами - видели как кеширование в какой-нибудь Опере 6 было? Когда страница из сети обновлялась только явному запросу, а так - ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети - вот такое на файрфоксе не сделать сейчас без вмешательства в код.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

28. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Xasd (ok) on 26-Авг-13, 16:58 
> ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети

и даже XMLHttpRequest производился без обращения к сети?? :-)


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

29. "Проект Mozilla представил протокол Plug-n-Hack"  +3 +/
Сообщение от бедный буратино (ok) on 26-Авг-13, 17:04 
>> ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети
> и даже XMLHttpRequest производился без обращения к сети?? :-)

В шестой опере?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Xasd (ok) on 26-Авг-13, 19:09 
:-)
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

22. "Проект Mozilla представил протокол Plug-n-Hack"  +1 +/
Сообщение от Аноним (??) on 26-Авг-13, 16:32 
> с расширениями, которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке

ещё один дурак не нашёл времени вникнуть в NPAPI, зато нашёл время брякнуть чушь в комментах

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

32. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Crazy Alex (ok) on 26-Авг-13, 19:23 
Дурак - это тот, кто не понимает разницу между ПЛАГИНОМ, который управляет браузер, и ИНТЕРФЕЙСОМ, взаимодействием с которым управляет внешняя система.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

40. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от arisu (ok) on 30-Авг-13, 12:51 
> Никакого сраказма. Сейчас браузер - это такая вешь в себе, с расширениями,
> которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке.

а вот если в браузер наконец интегрируют ядро ОС и графическую подсистему — будет ДА!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Проект Mozilla представил протокол Plug-n-Hack"  +6 +/
Сообщение от Аноним (??) on 26-Авг-13, 01:57 
Хоть кто-то об удобстве хакеров беспокоится.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Аноним же on 26-Авг-13, 08:49 
Ага, заодно дыры расширят похоже)))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Проект Mozilla представил протокол Plug-n-Hack"  +1 +/
Сообщение от Онамин on 26-Авг-13, 09:13 
Ага, заодно дыры расшарят похоже)))

//fixed

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Аноним (??) on 26-Авг-13, 09:12 
круто
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Аноним (??) on 26-Авг-13, 23:53 
Теперь нажимая "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" юзвери смогут устанавливать не только кучу тулбаров, нестандартных неудаляемых поисковиков и целых браузеров, а и сниферы и пр. штучки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Crazy Alex (ok) on 27-Авг-13, 03:15 
Туда и дорога. В Нормальных Системах этой мути просто нет.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от oWeRQ (ok) on 27-Авг-13, 13:21 
Что за "Нормальные Системы" без снифферов и сканеров безопасности?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Crazy Alex (ok) on 27-Авг-13, 19:07 
Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" - в линуксе их, знаете ли, как-то не завезли.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

42. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от tessel on 03-Сен-13, 15:35 
> Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить"
> - в линуксе их, знаете ли, как-то не завезли.

Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы. Вы просто не понимаете пока, как тонко на этом вас можно поиметь.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

43. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от arisu (ok) on 03-Сен-13, 16:10 
> Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы.
> Вы просто не понимаете пока, как тонко на этом вас можно
> поиметь.

ну так открой же нам глаза! естественно, с PoC'ом, потому что рассказы по типу «а вот если у маинтайнера украдут все ключи…» должны сопровождаться или этими самыми ключами, или скомпрометированными пакетами в репозиториях. и все другие страшилки тоже.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

37. "Проект Mozilla представил протокол Plug-n-Hack"  +/
Сообщение от Аноним (??) on 27-Авг-13, 15:41 
> Туда и дорога. В Нормальных Системах этой мути просто нет.

Windows 8?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру
Hosting by Ihor