The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.08.2013 22:37  Проект Mozilla представил протокол Plug-n-Hack

Разработчики из проекта Mozilla выступили с инициативой продвижения нового протокола Plug-n-Hack, нацеленного на предоставление средств для интеграции с браузером инструментов для исследования безопасности. Plug-n-Hack позволят упростить и унифицировать процесс подключения к различным браузерам компонентов, способных контролировать потоки обрабатываемой информации и тестировать безопасность, не требуя при этом написания специфичных для каждого браузера дополнений.

Например, для анализа HTTP/HTTPS-трафика применяются внешние инструменты, которые запускаются и настраиваются отдельно, но, как правило, используются бок о бок с браузером, что приводит к необходимости многократного переключения между утилитой и браузером. Plug-n-Hack позволяет интегрировать поддержку обращения к подобным инструментам непосредственно в браузер. Для организации потоков данных в Plug-n-Hack используются уже поддерживаемые механизмы, напоминающие организацию работы через прокси-сервер, вместо которого выступают инструменты для анализа безопасности.

Текущая реализация протокола позволяет приложениям сообщать браузеру о своих возможностях, которые могут вызываться из браузера, передавать настройки прокси, SSL-сертификат и список обрабатываемых команд. В дальнейшем, исследователь безопасности, подключивший инструмент через Plug-n-Hack, может обращаться к нему непосредственно из консоли для web-разработчика и сразу просматривать результат. Из планов на будущее также отмечается реализация средств для решения обратной задачи: браузер сможет декларировать список своих возможностей в рамках протокола Plug-n-Hack, что позволит задействовать браузер в качестве дополнения к внешнему приложению.

В настоящее время поддержка протокола Plug-n-Hack уже доступна для Firefox. Разработчики надеются, что производители других браузеров присоединятся к инициативе и добавят поддержку Plug-n-Hack в свои продукты. В инструментах для исследования безопасности достаточно будет реализовать поддержку Plug-n-Hack, чтобы полностью автоматизировать настройку интеграции инструмента с любым браузером, поддерживающего предложенный протокол. Среди инструментов для которых уже обеспечена поддержка Plug-n-Hack отмечается система всестороннего анализа веб-сайта на уязвимости OWASP Zed Attack Proxy.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, security, api, plug-n-hack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, lucentcode, 23:11, 25/08/2013 [ответить] [смотреть все]
  • +1 +/
    Интересное начинание. Надеюсь, данный протокол добавят в Chromium. Удобно запускать нужные утилиты из браузера, а не переключаться по сто раз в консоль и обратно. Почему-то мне кажется, что таким образом будут подключать не только приложения для исследования безопасности, но и приложения для разработки и деплоя.
     
     
  • 2.4, Аноним, 01:01, 26/08/2013 [^] [ответить] [смотреть все] [показать ветку]
  • +7 +/
    Ага, ботмейкеры думается оценят.
     
     
  • 3.17, Xasd, 12:35, 26/08/2013 [^] [ответить] [смотреть все]
  • +/
    а зачем ботам нужен браузер? :)
     
     
  • 4.23, cdecl, 16:37, 26/08/2013 [^] [ответить] [смотреть все]
  • +/
    как же зачем откуда им еще в сеть выходить ну и mitm выходит писать станет ещ... весь текст скрыт [показать]
     
     
  • 5.26, Xasd, 16:48, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    ну вот например -- Google выпустила библиотеку -- Gumbo а до Gumbo -- была и ещ... весь текст скрыт [показать]
     
     
  • 6.39, arisu, 12:50, 30/08/2013 [^] [ответить] [смотреть все]  
  • +/
    аналоги не покажешь, а, умник хоть штучки три чтобы на C и без дополнительных ... весь текст скрыт [показать]
     
  • 4.35, Аноним, 03:54, 27/08/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну вот например спамботы совсем не откажутся залогиниться через браузер и потом ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 23:48, 25/08/2013 [ответить] [смотреть все]  
  • +2 +/
    сокращенно - ПНХ (PnH). соотечественники оценят.
     
     
  • 2.12, Аноним, 08:29, 26/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +11 +/
    какой интеллект - такие и шутки
     
  • 1.3, Crazy Alex, 23:58, 25/08/2013 [ответить] [смотреть все]  
  • –3 +/
    ДА Плевать на собственно исследования безопасности - но из этого же получитс... весь текст скрыт [показать]
     
     
  • 2.5, YetAnotherOnanym, 01:33, 26/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Спасибо, мы это уже проходили. (Или это был сарказм?)
     
     
  • 3.6, Crazy Alex, 01:54, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Никакого сраказма Сейчас браузер - это такая вешь в себе, с расширениями, котор... весь текст скрыт [показать]
     
     
  • 4.8, Lain_13, 02:10, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    А кто тебе мешает влезть в сорцы и подкрутить на своё усмотрение прямо сейчас?
     
     
  • 5.11, Crazy Alex, 05:52, 26/08/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    Танунафиг, заглядывал я в те сорцы Там довольно сложная архитектура, даже если ... весь текст скрыт [показать]
     
  • 4.16, Аноним, 09:57, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на... весь текст скрыт [показать]
     
     
  • 5.18, Xasd, 12:37, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    это уж точно вот что-что а кэш в браузерах работает как надо кроме исследовани... весь текст скрыт [показать]
     
     
  • 6.20, Аноним, 14:49, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Тю Тю ... весь текст скрыт [показать]
     
  • 6.24, Crazy Alex, 16:43, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Поправка - оно работает как надо если используется в ожидаемых условиях ЧТо об... весь текст скрыт [показать]
     
     
  • 7.27, Xasd, 16:51, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    надеюсь ты осознаёшь -- что ты хочешь взять данные из кэша -- b через нарушение... весь текст скрыт [показать]
     
     
  • 8.31, Crazy Alex, 19:19, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Конечно осознаю Больше того - и чем чревато в в курсе, как давний пользователь ... весь текст скрыт [показать]
     
     
  • 9.41, arisu, 12:53, 30/08/2013 [^] [ответить] [смотреть все]  
  • +/
    вообще-то это решается простым самопальным проксиком проксь 171 для себя 187... весь текст скрыт [показать]
     
  • 6.25, Crazy Alex, 16:45, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Другими словами - видели как кеширование в какой-нибудь Опере 6 было Когда стра... весь текст скрыт [показать]
     
     
  • 7.28, Xasd, 16:58, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    и даже XMLHttpRequest производился без обращения к сети - ... весь текст скрыт [показать]
     
     
  • 8.29, бедный буратино, 17:04, 26/08/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    В шестой опере ... весь текст скрыт [показать]
     
     
  • 9.30, Xasd, 19:09, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    :-)
     
  • 4.22, Аноним, 16:32, 26/08/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    ещё один дурак не нашёл времени вникнуть в NPAPI, зато нашёл время брякнуть чушь... весь текст скрыт [показать]
     
     
  • 5.32, Crazy Alex, 19:23, 26/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Дурак - это тот, кто не понимает разницу между ПЛАГИНОМ, который управляет брауз... весь текст скрыт [показать]
     
  • 4.40, arisu, 12:51, 30/08/2013 [^] [ответить] [смотреть все]  
  • +/
    а вот если в браузер наконец интегрируют ядро ОС и графическую подсистему 8212... весь текст скрыт [показать]
     
  • 1.7, Аноним, 01:57, 26/08/2013 [ответить] [смотреть все]  
  • +6 +/
    Хоть кто-то об удобстве хакеров беспокоится.
     
  • 1.13, Аноним же, 08:49, 26/08/2013 [ответить] [смотреть все]  
  • +/
    Ага, заодно дыры расширят похоже)))
     
     
  • 2.15, Онамин, 09:13, 26/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ага, заодно дыры расшарят похоже)))

    //fixed

     
  • 1.14, Аноним, 09:12, 26/08/2013 [ответить] [смотреть все]  
  • +/
    круто
     
  • 1.33, Аноним, 23:53, 26/08/2013 [ответить] [смотреть все]  
  • +/
    Теперь нажимая далее-далее-я согласен с условиями соглашения-далее-далее-далее-... весь текст скрыт [показать]
     
     
  • 2.34, Crazy Alex, 03:15, 27/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Туда и дорога. В Нормальных Системах этой мути просто нет.
     
     
  • 3.36, oWeRQ, 13:21, 27/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Что за "Нормальные Системы" без снифферов и сканеров безопасности?
     
     
  • 4.38, Crazy Alex, 19:07, 27/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" - в линуксе их, знаете ли, как-то не завезли.
     
     
  • 5.42, tessel, 15:35, 03/09/2013 [^] [ответить] [смотреть все]  
  • +/
    > Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить"
    > - в линуксе их, знаете ли, как-то не завезли.

    Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы. Вы просто не понимаете пока, как тонко на этом вас можно поиметь.

     
     
  • 6.43, arisu, 16:10, 03/09/2013 [^] [ответить] [смотреть все]  
  • +/
    > Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы.
    > Вы просто не понимаете пока, как тонко на этом вас можно
    > поиметь.

    ну так открой же нам глаза! естественно, с PoC'ом, потому что рассказы по типу «а вот если у маинтайнера украдут все ключи…» должны сопровождаться или этими самыми ключами, или скомпрометированными пакетами в репозиториях. и все другие страшилки тоже.

     
  • 3.37, Аноним, 15:41, 27/08/2013 [^] [ответить] [смотреть все]  
  • +/
    > Туда и дорога. В Нормальных Системах этой мути просто нет.

    Windows 8?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList