The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.08.2013 22:37  Проект Mozilla представил протокол Plug-n-Hack

Разработчики из проекта Mozilla выступили с инициативой продвижения нового протокола Plug-n-Hack, нацеленного на предоставление средств для интеграции с браузером инструментов для исследования безопасности. Plug-n-Hack позволят упростить и унифицировать процесс подключения к различным браузерам компонентов, способных контролировать потоки обрабатываемой информации и тестировать безопасность, не требуя при этом написания специфичных для каждого браузера дополнений.

Например, для анализа HTTP/HTTPS-трафика применяются внешние инструменты, которые запускаются и настраиваются отдельно, но, как правило, используются бок о бок с браузером, что приводит к необходимости многократного переключения между утилитой и браузером. Plug-n-Hack позволяет интегрировать поддержку обращения к подобным инструментам непосредственно в браузер. Для организации потоков данных в Plug-n-Hack используются уже поддерживаемые механизмы, напоминающие организацию работы через прокси-сервер, вместо которого выступают инструменты для анализа безопасности.

Текущая реализация протокола позволяет приложениям сообщать браузеру о своих возможностях, которые могут вызываться из браузера, передавать настройки прокси, SSL-сертификат и список обрабатываемых команд. В дальнейшем, исследователь безопасности, подключивший инструмент через Plug-n-Hack, может обращаться к нему непосредственно из консоли для web-разработчика и сразу просматривать результат. Из планов на будущее также отмечается реализация средств для решения обратной задачи: браузер сможет декларировать список своих возможностей в рамках протокола Plug-n-Hack, что позволит задействовать браузер в качестве дополнения к внешнему приложению.

В настоящее время поддержка протокола Plug-n-Hack уже доступна для Firefox. Разработчики надеются, что производители других браузеров присоединятся к инициативе и добавят поддержку Plug-n-Hack в свои продукты. В инструментах для исследования безопасности достаточно будет реализовать поддержку Plug-n-Hack, чтобы полностью автоматизировать настройку интеграции инструмента с любым браузером, поддерживающего предложенный протокол. Среди инструментов для которых уже обеспечена поддержка Plug-n-Hack отмечается система всестороннего анализа веб-сайта на уязвимости OWASP Zed Attack Proxy.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, security, api, plug-n-hack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, lucentcode (ok), 23:11, 25/08/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Интересное начинание. Надеюсь, данный протокол добавят в Chromium. Удобно запускать нужные утилиты из браузера, а не переключаться по сто раз в консоль и обратно. Почему-то мне кажется, что таким образом будут подключать не только приложения для исследования безопасности, но и приложения для разработки и деплоя.
     
     
  • 2.4, Аноним (-), 01:01, 26/08/2013 [^] [ответить]    [к модератору]
  • +7 +/
    Ага, ботмейкеры думается оценят.
     
     
  • 3.17, Xasd (ok), 12:35, 26/08/2013 [^] [ответить]    [к модератору]
  • +/
    а зачем ботам нужен браузер? :)
     
     
  • 4.23, cdecl (?), 16:37, 26/08/2013 [^] [ответить]    [к модератору]
  • +/
    как же зачем? откуда им еще в сеть выходить?
    ну и mitm выходит писать станет еще проще
     
     
  • 5.26, Xasd (ok), 16:48, 26/08/2013 [^] [ответить]    [к модератору]
  • +/
    ну вот например -- Google выпустила библиотеку -- Gumbo (а до Gumbo -- была и ещё целая куча её аналогов :))..

    самое то для ботоводов :)

     
     
  • 6.39, arisu (ok), 12:50, 30/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > а до Gumbo — была и ещё целая куча её аналогов

    аналоги не покажешь, а, умник? хоть штучки три. чтобы на C и без дополнительных зависимостей? или ты как всегда вякнул ерунду?

     
  • 4.35, Аноним (-), 03:54, 27/08/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > а зачем ботам нужен браузер? :)

    Ну вот например спамботы совсем не откажутся залогиниться через браузер и потом делать свое черное дело, да? :)

     
  • 1.2, Аноним (-), 23:48, 25/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    сокращенно - ПНХ (PnH). соотечественники оценят.
     
     
  • 2.12, Аноним (-), 08:29, 26/08/2013 [^] [ответить]    [к модератору]  
  • +11 +/
    какой интеллект - такие и шутки
     
  • 1.3, Crazy Alex (ok), 23:58, 25/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    ДА!!!! Плевать на собственно исследования безопасности - но из этого же получится нормальная интеграция браузера в систему. Давно пора.
     
     
  • 2.5, YetAnotherOnanym (ok), 01:33, 26/08/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    Спасибо, мы это уже проходили. (Или это был сарказм?)
     
     
  • 3.6, Crazy Alex (ok), 01:54, 26/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Никакого сраказма Сейчас браузер - это такая вешь в себе, с расширениями, котор... весь текст скрыт [показать]
     
     
  • 4.8, Lain_13 (ok), 02:10, 26/08/2013 [^] [ответить]    [к модератору]  
  • +/
    А кто тебе мешает влезть в сорцы и подкрутить на своё усмотрение прямо сейчас?
     
     
  • 5.11, Crazy Alex (ok), 05:52, 26/08/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Танунафиг, заглядывал я в те сорцы Там довольно сложная архитектура, даже если ... весь текст скрыт [показать]
     
  • 4.16, Аноним (-), 09:57, 26/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск??? Или это был абстрактный конь в ваакуме?
     
     
  • 5.18, Xasd (ok), 12:37, 26/08/2013 [^] [ответить]     [к модератору]  
  • +/
    это уж точно вот что-что а кэш в браузерах работает как надо кроме исследовани... весь текст скрыт [показать]
     
     
  • 6.20, Аноним (-), 14:49, 26/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Тю Тю ... весь текст скрыт [показать]
     
  • 6.24, Crazy Alex (ok), 16:43, 26/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Поправка - оно работает как надо если используется в ожидаемых условиях ЧТо об... весь текст скрыт [показать]
     
     
  • 7.27, Xasd (ok), 16:51, 26/08/2013 [^] [ответить]     [к модератору]  
  • +/
    надеюсь ты осознаёшь -- что ты хочешь взять данные из кэша -- b через нарушение... весь текст скрыт [показать]
     
     
  • 8.31, Crazy Alex (ok), 19:19, 26/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Конечно осознаю Больше того - и чем чревато в в курсе, как давний пользователь ... весь текст скрыт [показать]
     
     
  • 9.41, arisu (ok), 12:53, 30/08/2013 [^] [ответить]    [к модератору]  
  • +/
    вообще-то это решается простым самопальным проксиком. проксь «для себя» на коленке пишется за пару часов, и никто не мешает в нём играть заголовками, как тебе угодно.
     
  • 6.25, Crazy Alex (ok), 16:45, 26/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Другими словами - видели как кеширование в какой-нибудь Опере 6 было Когда стра... весь текст скрыт [показать]
     
     
  • 7.28, Xasd (ok), 16:58, 26/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети

    и даже XMLHttpRequest производился без обращения к сети?? :-)


     
     
  • 8.29, бедный буратино (ok), 17:04, 26/08/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    >> ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети
    > и даже XMLHttpRequest производился без обращения к сети?? :-)

    В шестой опере?

     
     
  • 9.30, Xasd (ok), 19:09, 26/08/2013 [^] [ответить]    [к модератору]  
  • +/
    :-)
     
  • 4.22, Аноним (-), 16:32, 26/08/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > с расширениями, которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке

    ещё один дурак не нашёл времени вникнуть в NPAPI, зато нашёл время брякнуть чушь в комментах

     
     
  • 5.32, Crazy Alex (ok), 19:23, 26/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Дурак - это тот, кто не понимает разницу между ПЛАГИНОМ, который управляет браузер, и ИНТЕРФЕЙСОМ, взаимодействием с которым управляет внешняя система.
     
  • 4.40, arisu (ok), 12:51, 30/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > Никакого сраказма. Сейчас браузер - это такая вешь в себе, с расширениями,
    > которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке.

    а вот если в браузер наконец интегрируют ядро ОС и графическую подсистему — будет ДА!

     
  • 1.7, Аноним (-), 01:57, 26/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Хоть кто-то об удобстве хакеров беспокоится.
     
  • 1.13, Аноним же (?), 08:49, 26/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ага, заодно дыры расширят похоже)))
     
     
  • 2.15, Онамин (?), 09:13, 26/08/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Ага, заодно дыры расшарят похоже)))

    //fixed

     
  • 1.14, Аноним (14), 09:12, 26/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    круто
     
  • 1.33, Аноним (-), 23:53, 26/08/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Теперь нажимая далее-далее-я согласен с условиями соглашения-далее-далее-далее-... весь текст скрыт [показать]
     
     
  • 2.34, Crazy Alex (ok), 03:15, 27/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Туда и дорога. В Нормальных Системах этой мути просто нет.
     
     
  • 3.36, oWeRQ (ok), 13:21, 27/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Что за "Нормальные Системы" без снифферов и сканеров безопасности?
     
     
  • 4.38, Crazy Alex (ok), 19:07, 27/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" - в линуксе их, знаете ли, как-то не завезли.
     
     
  • 5.42, tessel (?), 15:35, 03/09/2013 [^] [ответить]    [к модератору]  
  • +/
    > Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить"
    > - в линуксе их, знаете ли, как-то не завезли.

    Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы. Вы просто не понимаете пока, как тонко на этом вас можно поиметь.

     
     
  • 6.43, arisu (ok), 16:10, 03/09/2013 [^] [ответить]    [к модератору]  
  • +/
    > Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы.
    > Вы просто не понимаете пока, как тонко на этом вас можно
    > поиметь.

    ну так открой же нам глаза! естественно, с PoC'ом, потому что рассказы по типу «а вот если у маинтайнера украдут все ключи…» должны сопровождаться или этими самыми ключами, или скомпрометированными пакетами в репозиториях. и все другие страшилки тоже.

     
  • 3.37, Аноним (-), 15:41, 27/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > Туда и дорога. В Нормальных Системах этой мути просто нет.

    Windows 8?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor