The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

05.10.2009 11:47  Разработчики Mozilla выпустили прототип Firefox с защитой от XSS и CSRF атак

Разработчики проекта Mozilla представили первый рабочий прототип Firefox с реализацией технологии CSP (Content Security Policy), направленной на интеграцию в web-браузеры средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).

К работе по улучшению предварительной спецификации CSP приглашаются производители других web-браузеров, эксперты по безопасности и web-мастера. Для знакомства с возможностями технологии подготовлена специальная демонстрационная страница, на которой представлены 11 примеров атак, которым может противостоять CSP.

Спецификация CSP вводит в обиход новый HTTP-заголовок, при помощи которого web-мастер может явно задать какие из скриптов можно выполнять для заданного домена. Например, установка заголовка "X-Content-Security-Policy: allow 'self'" разрешит только выполнение локальных JavaScript файлов, заблокирует выполнение JavaScript блоков, определенных непосредственно в HTML документе и не позволит выполнить операцию на внешнем сайте через img src ссылку в URI которой фигурируют переменные (например, "img src=http://www.test.ru/cgi-bin/add.cgi?msg=123"). Или другой пример, разрешаем загрузку всех скриптов и изображений только из защищенной области сайта: "X-Content-Security-Policy: allow https://*:443".

CSP также позволяет определить список внешних ресурсов, используемых на текущей странице, чтобы отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src. Пример:


  X-Content-Security-Policy: allow 'self'; img-src *; \
                           object-src media1.com media2.com *.cdn.com; \
                           script-src trustedscripts.example.com

В заключение можно отметить, прогресс в развитии другой инициативы по увеличению безопасности пользователей Firefox - в дополнение к представленному недавно коду проверки необходимости выполнения обновления Flash плагина, представлена специальная страница Plugin Check, осуществляющая проверку всех установленных в браузере сторонних дополнений. В случае, если в установленных версиях дополнений имеется неисправленная узявимость, пользователю настойчиво предлагается установить более свежую версию.

  1. Главная ссылка к новости (http://blog.mozilla.com/securi...)
  2. OpenNews: Разработчики Mozilla представили систему для защиты от web-атак
  3. OpenNews: В Mozilla Firefox предприняты меры защиты от небезопасных плагинов
  4. OpenNews: 10 млн. пользователей обновили Flash плагин, следуя рекомендации Mozilla
  5. OpenNews: В Mozilla Firefox предприняты меры защиты от небезопасных плагинов
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: fierfox, mozilla, security, javascript, xss, csrf
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Трухин Юрий Владимирович, 12:46, 05/10/2009 [ответить] [смотреть все]
  • –4 +/
    в IE8 давно есть
     
     
  • 2.2, upyx, 13:14, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]
  • –2 +/
    Ага Есть Сегодня один человек жаловался, что mail ru криво открывается Глянул... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Трухин Юрий Владимирович, 19:26, 05/10/2009 [^] [ответить] [смотреть все]  
  • +/
    а при чем тут в том что вы написали IE8 и FF
     
     
  • 4.30, upyx, 05:59, 07/10/2009 [^] [ответить] [смотреть все]  
  • +/
    При том, что все едино веб разработчики это не применяют, а зря ... весь текст скрыт [показать]
     
  • 2.3, Аноним, 13:48, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Что там есть Как без определения web-мастером что можно блокировать, а что нет... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Трухин Юрий Владимирович, 19:33, 05/10/2009 [^] [ответить] [смотреть все]  
  • +/
    http www securitylab ru analytics 363593 php ... весь текст скрыт [показать]
     
  • 2.16, аноним, 18:06, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ничего подобного.
     
  • 2.17, Аноним, 18:37, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Вы б не завирались настолько Или вам заплатили достаточно для того чтобы совест... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Анонизм, 19:03, 05/10/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    Вы б поинтересовались, прежде, чем хамили человеку http www securitylab ru ne... весь текст скрыт [показать]
     
  • 1.4, gegMOPO4, 14:01, 05/10/2009 [ответить] [смотреть все]  
  • –2 +/
    И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP?
     
     
  • 2.6, Chris Archer, 14:28, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    для этого уже надо знать структуру движка веб-сайта ну и для статики это в принц... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, gegMOPO4, 21:43, 05/10/2009 [^] [ответить] [смотреть все]  
  • +/
    Ну, структуру хакер всё равно должен представлять А htaccess 8212 такая же ... весь текст скрыт [показать]
     
  • 2.7, Aleksey, 14:32, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    То же, что мешало вам прочесть про то, что такое XSS.
     
  • 2.18, Аноним, 18:39, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Воткнуть свой код можно обойдя фильтры форума, блога, - любого сайта с user-... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, gegMOPO4, 21:51, 05/10/2009 [^] [ответить] [смотреть все]  
  • +/
    Достаточно пользователя 8212 владельца сайта Конфиги и скрипты бывают и лока... весь текст скрыт [показать]
     
  • 1.5, Аноним, 14:05, 05/10/2009 [ответить] [смотреть все]  
  • +1 +/
    Я ошибаюсь, или это немножко ещё реализовано в noscript ... весь текст скрыт [показать]
     
     
  • 2.8, mityok, 14:42, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    вы глубоко ошибаетесь http www w3 org TR html401 interact scripts html h-18 3 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Аноним, 15:22, 05/10/2009 [^] [ответить] [смотреть все]  
  • –1 +/
    noscript.net нэ?
     
     
  • 4.13, mityok, 16:30, 05/10/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    >noscript.net нэ?

    пардон, не подумал про плагин

     
  • 2.10, Aleksey, 15:24, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Топор безусловно помогает от насморка и множества других болезней.
     
  • 2.14, zazik, 16:38, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).
    >
    >Я ошибаюсь, или это + немножко ещё реализовано в noscript?

    Noscript всё-таки немного другое, хотя и близкое.

     
  • 2.19, Аноним, 18:40, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Идея похожая, реализация другая ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Аноним, 21:11, 05/10/2009 [^] [ответить] [смотреть все]  
  • +/
    http noscript net features xss Какая чёрт разница, какая реализация Разрешить... весь текст скрыт [показать]
     
     
  • 4.25, Crazy Alex, 21:41, 05/10/2009 [^] [ответить] [смотреть все]  
  • +1 +/
    Разница в том, что хозяин сайта точно знает, что он на этом сайте ставил, а остальное - левое. А noscript этого не знает - в результате приходится выключать все подряд и держать здоровенный список исключений. Если же этот стандарт распространится, для noscript останутся только ситуации, когда пользователь хочет получить сайт не таким, каким задумывали разработчики.
     
     
  • 5.28, dry, 12:10, 06/10/2009 [^] [ответить] [смотреть все]  
  • +/
    не такой уж и здоровенный. думаю в пределах 50 хостов у меня.
    набирается он очень непринужденно, даже с переносом не заморачиваюсь. проще заного сформировать по ходу дела.
     
  • 1.12, Sergey, 15:58, 05/10/2009 [ответить] [смотреть все]  
  • +/
    реализовано
    их AB как раз это оно
     
  • 1.15, Tav, 17:35, 05/10/2009 [ответить] [смотреть все]  
  • +/
    Теперь можно будет делать корявые-дырявые сайты без последствий.
     
     
  • 2.31, Gambler, 20:30, 07/10/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Боюсь, что имеено этого разработчики и добиваются. Вместо налаживания настоящей безопасности веб девелоперы будут извращать сайты, чтобы обо всем позаботилась Мозилла.
     
  • 1.29, cobain, 20:09, 06/10/2009 [ответить] [смотреть все]  
  • +/
    бредовая идея резать контент и запросы.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor