The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Разработчики Mozilla выпустили прототип Firefox с защитой от..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от opennews on 05-Окт-09, 12:46 
Разработчики проекта Mozilla представили (http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-t.../) первый рабочий прототип Firefox (https://build.mozilla.org/tryserver-builds/bsterne@mozi.../) с реализацией технологии CSP (http://people.mozilla.org/~bsterne/content-security-policy/) (Content Security Policy), направленной на интеграцию в web-браузеры средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF,  XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).


К работе по улучшению предварительной спецификации CSP (https://wiki.mozilla.org/Security/CSP/Spec) приглашаются производители других web-браузеров, эксперты по безопасности и web-мастера. Для знакомства с возможностями техноло...

URL: http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-t.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=23723

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  –4 +/
Сообщение от Трухин Юрий Владимирович on 05-Окт-09, 12:46 
в IE8 давно есть
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  –2 +/
Сообщение от upyx (ok) on 05-Окт-09, 13:14 
Ага. Есть.
Сегодня один человек жаловался, что mail.ru криво открывается. Глянул код, а там г-на не то, что огород удобрить, на колхоз хватит. И все чудесно выполнялось и пыталось грузится. И загрузилось бы, кабы на шлюзе зарезано не было. В ФФ та же барада. Впрочем, майл.ру может и не использовать дополнительные заголовки, я не смотрел.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от Трухин Юрий Владимирович on 05-Окт-09, 19:26 
а при чем тут в том что вы написали IE8 и FF
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от upyx (ok) on 07-Окт-09, 05:59 
>а при чем тут в том что вы написали IE8 и FF
>

При том, что все едино веб разработчики это не применяют, а зря.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +1 +/
Сообщение от Аноним (??) on 05-Окт-09, 13:48 
>в IE8 давно есть

Что там есть ? Как без определения web-мастером что можно блокировать, а что нет, разделить JavaScript вставку баннерной крутилки от JavaScript вставки злобного хакера ? Технически легальная от нелегальной вставки отличаются только именем домена.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от Трухин Юрий Владимирович on 05-Окт-09, 19:33 
>>в IE8 давно есть
>
>Что там есть ?

http://www.securitylab.ru/analytics/363593.php

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от аноним on 05-Окт-09, 18:06 
Ничего подобного.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  –1 +/
Сообщение от Аноним (??) on 05-Окт-09, 18:37 
> в IE8 давно есть

Вы б не завирались настолько? Или вам заплатили достаточно для того чтобы совесть отключилась совсем?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +1 +/
Сообщение от Анонизм on 05-Окт-09, 19:03 
>> в IE8 давно есть
>
>Вы б не завирались настолько? Или вам заплатили достаточно для того чтобы
>совесть отключилась совсем?

Вы б поинтересовались, прежде, чем хамили человеку.

http://www.securitylab.ru/news/384783.php


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Мёртвому припарки"  –2 +/
Сообщение от gegMOPO4 (ok) on 05-Окт-09, 14:01 
И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Мёртвому припарки"  +/
Сообщение от Chris Archer email on 05-Окт-09, 14:28 
для этого уже надо знать структуру движка веб-сайта
ну и для статики это в принципе невозможно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Мёртвому припарки"  +/
Сообщение от gegMOPO4 (ok) on 05-Окт-09, 21:43 
Ну, структуру хакер всё равно должен представлять. А .htaccess — такая же статика.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Мёртвому припарки"  +1 +/
Сообщение от Aleksey (??) on 05-Окт-09, 14:32 
То же, что мешало вам прочесть про то, что такое XSS.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Мёртвому припарки"  +/
Сообщение от Аноним (??) on 05-Окт-09, 18:39 
>И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP?

Воткнуть свой код можно обойдя фильтры форума, блога, ... - любого сайта с user-generated контентом. А вот чтобы сменить заголовки сервера - надо тотально ломануть машину со всеми потрохами и поиметь права на правку конфига сервера. А это у нормальных людей - root.

Есть некоторая разница в сложности между инжектом барахла (допустим в коментах на форуме или там еще где) и поимением на машине полонценного рута, вы не находите?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Мёртвому припарки"  +/
Сообщение от gegMOPO4 (ok) on 05-Окт-09, 21:51 
Достаточно пользователя — владельца сайта. Конфиги и скрипты бывают и локальными.

Но согласен — это прикроет вопиюще дырявые сайты, владельцы которых проявляют преступную доверчивость. Надеюсь, что браузер не будет это глотать молча, а отсветит огромным страшным предупреждением на треть экрана. Неотключаемым.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +1 +/
Сообщение от Аноним (??) on 05-Окт-09, 14:05 
>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).

Я ошибаюсь, или это + немножко ещё реализовано в noscript?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  –1 +/
Сообщение от mityok (??) on 05-Окт-09, 14:42 
>>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).
>
>Я ошибаюсь, или это + немножко ещё реализовано в noscript?

вы глубоко ошибаетесь
http://www.w3.org/TR/html401/interact/scripts.html#h-18.3.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  –1 +/
Сообщение от Аноним (??) on 05-Окт-09, 15:22 
noscript.net нэ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +1 +/
Сообщение от mityok (??) on 05-Окт-09, 16:30 
>noscript.net нэ?

пардон, не подумал про плагин

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +2 +/
Сообщение от Aleksey (??) on 05-Окт-09, 15:24 
Топор безусловно помогает от насморка и множества других болезней.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от zazik (ok) on 05-Окт-09, 16:38 
>>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).
>
>Я ошибаюсь, или это + немножко ещё реализовано в noscript?

Noscript всё-таки немного другое, хотя и близкое.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от Аноним (??) on 05-Окт-09, 18:40 
>Я ошибаюсь, или это + немножко ещё реализовано в noscript?

Идея похожая, реализация другая..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от Аноним (??) on 05-Окт-09, 21:11 
http://noscript.net/features#xss
Какая чёрт разница, какая реализация? Разрешить/запретить на этой странице выбранные js.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +1 +/
Сообщение от Crazy Alex (??) on 05-Окт-09, 21:41 
Разница в том, что хозяин сайта точно знает, что он на этом сайте ставил, а остальное - левое. А noscript этого не знает - в результате приходится выключать все подряд и держать здоровенный список исключений. Если же этот стандарт распространится, для noscript останутся только ситуации, когда пользователь хочет получить сайт не таким, каким задумывали разработчики.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от dry (ok) on 06-Окт-09, 12:10 
не такой уж и здоровенный. думаю в пределах 50 хостов у меня.
набирается он очень непринужденно, даже с переносом не заморачиваюсь. проще заного сформировать по ходу дела.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от Sergey email(??) on 05-Окт-09, 15:58 
реализовано
их AB как раз это оно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от Tav on 05-Окт-09, 17:35 
Теперь можно будет делать корявые-дырявые сайты без последствий.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от Gambler (ok) on 07-Окт-09, 20:30 
Боюсь, что имеено этого разработчики и добиваются. Вместо налаживания настоящей безопасности веб девелоперы будут извращать сайты, чтобы обо всем позаботилась Мозилла.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."  +/
Сообщение от cobain (??) on 06-Окт-09, 20:09 
бредовая идея резать контент и запросы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру