The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

05.10.2009 11:47  Разработчики Mozilla выпустили прототип Firefox с защитой от XSS и CSRF атак

Разработчики проекта Mozilla представили первый рабочий прототип Firefox с реализацией технологии CSP (Content Security Policy), направленной на интеграцию в web-браузеры средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).

К работе по улучшению предварительной спецификации CSP приглашаются производители других web-браузеров, эксперты по безопасности и web-мастера. Для знакомства с возможностями технологии подготовлена специальная демонстрационная страница, на которой представлены 11 примеров атак, которым может противостоять CSP.

Спецификация CSP вводит в обиход новый HTTP-заголовок, при помощи которого web-мастер может явно задать какие из скриптов можно выполнять для заданного домена. Например, установка заголовка "X-Content-Security-Policy: allow 'self'" разрешит только выполнение локальных JavaScript файлов, заблокирует выполнение JavaScript блоков, определенных непосредственно в HTML документе и не позволит выполнить операцию на внешнем сайте через img src ссылку в URI которой фигурируют переменные (например, "img src=http://www.test.ru/cgi-bin/add.cgi?msg=123"). Или другой пример, разрешаем загрузку всех скриптов и изображений только из защищенной области сайта: "X-Content-Security-Policy: allow https://*:443".

CSP также позволяет определить список внешних ресурсов, используемых на текущей странице, чтобы отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src. Пример:


  X-Content-Security-Policy: allow 'self'; img-src *; \
                           object-src media1.com media2.com *.cdn.com; \
                           script-src trustedscripts.example.com

В заключение можно отметить, прогресс в развитии другой инициативы по увеличению безопасности пользователей Firefox - в дополнение к представленному недавно коду проверки необходимости выполнения обновления Flash плагина, представлена специальная страница Plugin Check, осуществляющая проверку всех установленных в браузере сторонних дополнений. В случае, если в установленных версиях дополнений имеется неисправленная узявимость, пользователю настойчиво предлагается установить более свежую версию.

  1. Главная ссылка к новости (http://blog.mozilla.com/securi...)
  2. OpenNews: Разработчики Mozilla представили систему для защиты от web-атак
  3. OpenNews: В Mozilla Firefox предприняты меры защиты от небезопасных плагинов
  4. OpenNews: 10 млн. пользователей обновили Flash плагин, следуя рекомендации Mozilla
  5. OpenNews: В Mozilla Firefox предприняты меры защиты от небезопасных плагинов
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: fierfox, mozilla, security, javascript, xss, csrf
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Трухин Юрий Владимирович, 12:46, 05/10/2009 [ответить] [смотреть все]    [к модератору]
  • –4 +/
    в IE8 давно есть
     
     
  • 2.2, upyx, 13:14, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • –2 +/
    Ага Есть Сегодня один человек жаловался, что mail ru криво открывается Глянул... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Трухин Юрий Владимирович, 19:26, 05/10/2009 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а при чем тут в том что вы написали IE8 и FF
     
     
  • 4.30, upyx, 05:59, 07/10/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    При том, что все едино веб разработчики это не применяют, а зря ... весь текст скрыт [показать]
     
  • 2.3, Аноним, 13:48, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Что там есть Как без определения web-мастером что можно блокировать, а что нет... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Трухин Юрий Владимирович, 19:33, 05/10/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    http www securitylab ru analytics 363593 php ... весь текст скрыт [показать]
     
  • 2.16, аноним, 18:06, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Ничего подобного.
     
  • 2.17, Аноним, 18:37, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Вы б не завирались настолько Или вам заплатили достаточно для того чтобы совест... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Анонизм, 19:03, 05/10/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вы б поинтересовались, прежде, чем хамили человеку http www securitylab ru ne... весь текст скрыт [показать]
     
  • 1.4, gegMOPO4, 14:01, 05/10/2009 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP?
     
     
  • 2.6, Chris Archer, 14:28, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    для этого уже надо знать структуру движка веб-сайта ну и для статики это в принц... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, gegMOPO4, 21:43, 05/10/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну, структуру хакер всё равно должен представлять А htaccess 8212 такая же ... весь текст скрыт [показать]
     
  • 2.7, Aleksey, 14:32, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    То же, что мешало вам прочесть про то, что такое XSS.
     
  • 2.18, Аноним, 18:39, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Воткнуть свой код можно обойдя фильтры форума, блога, - любого сайта с user-... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, gegMOPO4, 21:51, 05/10/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Достаточно пользователя 8212 владельца сайта Конфиги и скрипты бывают и лока... весь текст скрыт [показать]
     
  • 1.5, Аноним, 14:05, 05/10/2009 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Я ошибаюсь, или это немножко ещё реализовано в noscript ... весь текст скрыт [показать]
     
     
  • 2.8, mityok, 14:42, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    вы глубоко ошибаетесь http www w3 org TR html401 interact scripts html h-18 3 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Аноним, 15:22, 05/10/2009 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    noscript.net нэ?
     
     
  • 4.13, mityok, 16:30, 05/10/2009 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    >noscript.net нэ?

    пардон, не подумал про плагин

     
  • 2.10, Aleksey, 15:24, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Топор безусловно помогает от насморка и множества других болезней.
     
  • 2.14, zazik, 16:38, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).
    >
    >Я ошибаюсь, или это + немножко ещё реализовано в noscript?

    Noscript всё-таки немного другое, хотя и близкое.

     
  • 2.19, Аноним, 18:40, 05/10/2009 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Идея похожая, реализация другая ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Аноним, 21:11, 05/10/2009 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    http noscript net features xss Какая чёрт разница, какая реализация Разрешить... весь текст скрыт [показать]
     
     
  • 4.25, Crazy Alex, 21:41, 05/10/2009 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Разница в том, что хозяин сайта точно знает, что он на этом сайте ставил, а остальное - левое. А noscript этого не знает - в результате приходится выключать все подряд и держать здоровенный список исключений. Если же этот стандарт распространится, для noscript останутся только ситуации, когда пользователь хочет получить сайт не таким, каким задумывали разработчики.
     
     
  • 5.28, dry, 12:10, 06/10/2009 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    не такой уж и здоровенный. думаю в пределах 50 хостов у меня.
    набирается он очень непринужденно, даже с переносом не заморачиваюсь. проще заного сформировать по ходу дела.
     
  • 1.12, Sergey, 15:58, 05/10/2009 [ответить] [смотреть все]    [к модератору]  
  • +/
    реализовано
    их AB как раз это оно
     
  • 1.15, Tav, 17:35, 05/10/2009 [ответить] [смотреть все]    [к модератору]  
  • +/
    Теперь можно будет делать корявые-дырявые сайты без последствий.
     
     
  • 2.31, Gambler, 20:30, 07/10/2009 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Боюсь, что имеено этого разработчики и добиваются. Вместо налаживания настоящей безопасности веб девелоперы будут извращать сайты, чтобы обо всем позаботилась Мозилла.
     
  • 1.29, cobain, 20:09, 06/10/2009 [ответить] [смотреть все]    [к модератору]  
  • +/
    бредовая идея резать контент и запросы.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor