The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

DOM Snitch - дополнение для анализа безопасности кода JavaScript

27.06.2011 12:33

Представлено новое дополнение к web-браузеру Chrome - DOM Snitch, использующее эвристические методы для выявление некорректных приемов программирования на JavaScript. Дополнение отслеживает функции, работающие с DOM (Document Object Model), внутренним представлением web-страниц, и выдает предупреждения в случае использования методов, которые могут привести к проблемам с безопасностью. Код DOM Snitch распространяется в рамках лицензии Apache.

Дополнение может работать в трех режимах: пассивном (проведение аудита и формирование отчета с указанием возможных проблем), агрессивном (остановка скрипта в процессе работы с выводом предупреждения для каждой проблемы) и спящем (отключение анализатора). DOM Snitch пытается выявить возможные пути организации межсайтового скриптинга, учитывает некорректное использование JSON, оценивает возможность подстановки тегов через потоки пользовательских данных. Возможные проблемы проверяются при использовании таких методов, как document.cookie, document.write, HTMLElement.innerHTML, window.setTimeout, XMLHttpRequest.open, onmouseover и window.eval.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Компания Google открыла программу для проверки безопасности web-приложений
  3. OpenNews: Компания Google выпустила прокси для контроля безопасности web-приложений
  4. OpenNews: Свободные проекты и Google. Открыт исходный код Google Servlet Engine
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/31005-web
Ключевые слова: web, javascript, debug
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 17:12, 27/06/2011 [ответить]  
    		• –1 +/
    Актуально в свете появления биткоин-майнеров на чистом JS. С этого момента каждый посетитель сайта - это потенциально бот для зарабатывания бабла путем использования его вычислительных мощностей. Дырка типа XSS = хаксор наварится на ваших юзерах, а у них будет комп греться и батарейка на ноуте/телефоне садиться.
     
     
  • 2.2, Аноним (-), 17:42, 27/06/2011 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Больше разговоров. Даже прецедента еще не было.
     
     
  • 3.4, koloboid (ok), 22:39, 27/06/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    у прецедентов есть чудное свойство - они могут появиться :)
     
     
  • 4.5, Аноним (-), 11:33, 28/06/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Как и розовые слоны.
     
  • 2.3, Аноним (-), 19:26, 27/06/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Актуально только пожалуй для каких-нибудь warezxxx.biz, на которые люди заходят только по чистой случайности из гугла.
     
  • 2.6, Аноним (-), 11:36, 28/06/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Сколько там надо держать окно открытым на сайте? Неделю?
    Кстати js не многозадачный, так что при попытке начать расчет у юзера моментом зафризит вкладку как этого можно не заметить?
     
     
  • 3.7, Аноним (-), 11:49, 28/06/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    http://en.wikipedia.org/wiki/Web_Workers
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру