The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Google выпустила прокси для контроля безопасности web-приложений

03.07.2008 23:05

Михаил Залевский (Michal Zalewski) объявил об открытии под лицензией Apache 2.0 исходных текстов Ratproxy, средства для пассивной проверки безопасности web-приложений, используемого внутри Google.

В отличии от активных сканеров безопасности, осуществляющих проверку через симулирование атаки, ratproxy реализован в виде прокси-сервера, пассивно пропускающего через себя трафик и выявляющего активность представляющую угрозу безопасности пользователя. Например, определяется обращение к страницам, зараженным различными троянскими вставками (JavaScript блоками заражающими машины через уязвимости в web-браузерах), попытки выполнения межсайтового скриптинга (XSS), XSRF и другие виды атак. Ratproxy поддерживает анализ SSL трафика, декомпиляцию Flash ActionScript на лету, сборку разбитых на куски Javascript блоков, генерацию наглядных отчетов в HTML формате.

Исследование Консорциума безопасности web-приложений (Web Application Security Consortium) показало, что из выборки в 31373 сайтов, 85.57% содержали возможность межсайтового скриптинга, 26.38% позволяли осуществить внедрение кода в SQL запросы и 15.70% имели проблемы, которые могли привести к утечке инфорамции.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Разработчики Mozilla представили систему для защиты от web-атак
  3. OpenNews: Выпущен релиз ModSecurity 2.5.0
  4. OpenNews: Статистика уязвимостей Web-приложений
  5. Ratproxy - Project documentation
  6. infoworld.com: Google gives away free Web app security scanner
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/16801-security
Ключевые слова: security, web, proxy
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, SKeeper (?), 08:58, 04/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если все заявленное работает хотя бы на 50%, то это уже очень и очень гуд. А вообще Гугловцы молодцы!
     
     
  • 2.2, fr33man (?), 09:17, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    +1
     
  • 2.3, Владимир (??), 10:54, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вы хотя бы почитали последние новости, прежде чем писать "А вообще Гугловцы молодцы!"
     
     
  • 3.4, mFF (?), 11:15, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Нее. А шо такоэ?
     
     
  • 4.6, аноним (?), 11:19, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    В этом, быстро меняющемся мире, утром они молодцы, а вечером уже враги. И так до каждой след. новости. ))
     
     
  • 5.9, Владимир (??), 11:29, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вообщем и я о том же :-)
     
  • 4.8, Владимир (??), 11:27, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Google по решению суда передает всю базу пользователей (ники, ip, просмотренные ролики) YouTube компании Viacom.
     
     
  • 5.11, Аноним (11), 11:38, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    И еще хотел сказать кое-что вдогонку. Не знаю, где живет Владимир, но в России можно без решения всякого суда получить любые базы, от налоговиков, от пенсионного фонда, от гаишников. В этом свете ники, айпи и просмотренные ролики на youtube - это детский лепет.
     
     
  • 6.12, Владимир (??), 11:46, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >И еще хотел сказать кое-что вдогонку. Не знаю, где живет Владимир, но
    >в России можно без решения всякого суда получить любые базы, от
    >налоговиков, от пенсионного фонда, от гаишников. В этом свете ники, айпи
    >и просмотренные ролики на youtube - это детский лепет.

    Владимир живет в Украине (и здесь приблизительно также).
    Просто поражает по какой формулировке была отдана база: "В Viacom говорят, что при помощи этого архива хотят "сравнить привлекательность тех видео, которые предположительно нарушают авторское право, и тех, которые не нарушают." (с сайта БиБиСи http://news.bbc.co.uk/hi/russian/sci/tech/newsid_7488000/7488406.stm)

     
  • 5.13, csdoc (ok), 12:53, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Google по решению суда
    > передает всю базу пользователей (ники, ip, просмотренные ролики)
    > YouTube компании Viacom.

    они это делают не по собственному желанию, а по решению суда. американского.
    не выполнить решение американского суда - у Google такой возможности нет.
    не понимаю, в чем тут вина Google. в том что они когда-то купили youtube?

     
     
  • 6.15, Владимир (??), 13:07, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вина здесь не причем.
    Просто если почитать, то получается, что вместо того, чтобы идти по пути блокирования контента принадлежащего Viacom, получается что он остается на YourTube (и Google от этого хорошо), а Viacom получает огромнейшую базу пользовательским предпочтений (Эльдорадо для маркетологов).
    И все довольны, кроме пользователей конечно, но кто их спрашивает то.

    Это я все к тому, что если прижмет, то Google положит на многих и сдаст многих. Нет, конечно он делает и хорошие вещи (в OpenSource), но ИМХО, потому что так экономически и технологически выгодно, а не для поддержки OpenSource как таковой.

     
     
  • 7.16, SKeeper (?), 13:43, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Вина здесь не причем.
    >Просто если почитать, то получается, что вместо того, чтобы идти по пути
    >блокирования контента принадлежащего Viacom, получается что он остается на YourTube (и
    >Google от этого хорошо), а Viacom получает огромнейшую базу пользовательским предпочтений
    >(Эльдорадо для маркетологов).
    >И все довольны, кроме пользователей конечно, но кто их спрашивает то.

    Теперь я Вас понял. Но тут Гугл нельзя считать виновным, их все же принудили передать БД пользователей.

    >Это я все к тому, что если прижмет, то Google положит на
    >многих и сдаст многих. Нет, конечно он делает и хорошие вещи
    >(в OpenSource), но ИМХО, потому что так экономически и технологически выгодно,
    >а не для поддержки OpenSource как таковой.

    Ну это верно. Им выгоден ОпенСорц, поэтому они его и поддерживают. Им выгодно создание вендорно-независимых приложений (а в особенности независимых от МС). Просто в данном случае они молодцы. Они же не FSF, а корпорация зарабатывающая деньги.

    А по поводу передачи БД пользователей: в связи с авторским правом поклали все на приваси, причем такое встречается все чаще и чаще. Причем данный случай еще не так страшен (БД была отдана по принуждению), хуже то, что Гугл может _добровольно_ тайно/явно отдавать собранную информацию (а может и уже делает так). Активный интернетчик оставляет очень много следов в интернете, большая часть из которых приходится на поисковые системы. Кто-то об этом не задумывается, но на самом деле мало кому хотелось бы, чтобы личные данные отдавались неизвестно куда.

     
     
  • 8.24, vvvua (ok), 22:26, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Меня вообще напрягает тот факт, что у многих провов автоматом на ваш сайт навеши... текст свёрнут, показать
     
  • 7.28, Все тот же аноним (?), 23:07, 05/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вам-то что за печаль? Вы пользователь YT? Пора вырастать из коротких штанишек.

    Решение суда, уважаемый, это не "прижмет", это решение суда. В нормальных странах такие решения выполняются. И люди, и компании в нормальных странах живут не по понятиям, а по законам. Так что Ваши "сдаст" и "положит" оставьте для Ваших быдлокорешей.

    Модератор, вы отдыхаете или читаете по диагонали? Какого хрена здесь делают тупые комментарии?

     
     
  • 8.29, Oles (?), 09:05, 06/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    После исследования реальности сомневаюсь что есть нормальные страны с нормаль... текст свёрнут, показать
     
  • 8.30, SKeeper (?), 09:09, 07/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    И вправду, модератор, давно бы пора удалить сообщение всетогожеанонима ... текст свёрнут, показать
     
  • 8.32, Человек (??), 14:33, 17/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Сами Вы такой и не надо обижать незнакомых вам людей, от куда у Вас-всезнайки, т... текст свёрнут, показать
     
  • 5.14, Дмитрий Ю. Карпов (?), 13:02, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Надо было хотя бы хранить эту информацию так, чтобы после передачи её третьим лицам она стала бесполезной - например, хранить не сами данные, а их хеши.
     
     
  • 6.18, PavelR (??), 15:54, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а нафига её тогда хранить если она бесполезна ?
     
     
  • 7.19, belkin (ok), 16:20, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а нафига её тогда хранить если она бесполезна ?

    Таким образом и Viacom смогла бы получить свою статистику - выполнено решение суда и идентификаторы объектов остались бы закрытыми. Хэши то однозначно привязаны к исходным данным, но необратимы.

     
     
  • 8.20, SKeeper (?), 16:36, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вы просто гений Давайте в суд вместо документов тоже носить хеши их электронных... текст свёрнут, показать
     
     
  • 9.22, belkin (ok), 21:57, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    сравнить привлекательность тех видео, которые предположительно нарушают авторск... текст свёрнут, показать
     
     
  • 10.23, csdoc (ok), 22:12, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    у хэшей могут быть коллизии можно сделать еще проще, вместо реальных логинов по... текст свёрнут, показать
     
     
  • 11.25, vvvua (ok), 22:36, 04/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Это и есть частный случай хеша Да и инфа тут он есть, а тут была ... текст свёрнут, показать
     
  • 5.31, xen (??), 12:52, 10/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Google по решению суда передает всю базу пользователей (ники, ip, просмотренные ролики)
    >YouTube компании Viacom.

    Хорошо что не redtube в суде обязали,  а то мало ли бы интересное что-то для себя узнали :)

    говорят у Google есть возможность приколоться и в логи передать распечатками. Вот бы уж точно было "за что боролся на то и напоролся".

    Самое большое зло это Viacom, а не Google

     

  • 1.17, Oles (?), 14:12, 04/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >из выборки в 31373 сайтов, 85.57% содержали возможность межсайтового >скриптинга, 26.38% позволяли осуществить внедрение кода в SQL запросы и 15.70% >имели проблемы, которые могли привести к утечке инфорамции.

    не верю. особенно каждый четвёртый с sql-injection. просто не верю.

    > Ratproxy поддерживает анализ SSL трафика

    гы. подставляет свой сертификат :) забезопасились от безопасности

     
  • 1.21, Exe (ok), 21:40, 04/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    там какой-то бинарный троянец в поставке с проксёй. Короче, что-то не то гугл выложил. какая-то условная открытость.
     
  • 1.26, GoodWin (??), 10:31, 05/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. А кто из присутствующих читал агримент, когда регистрировался на "ютубе"?
    2. В законодательных актах большинства стран (USA в том числе) есть понятие о "конфиденциальной информации" и о процедурах по её передаче.
    3. Нарушение законодательства есть нарушение законодательства, и тут пенять не что - "жизнь такова, какова она есть и больше никакова".

    Так что Google поступает нормально.

     
  • 1.27, h3t0 (?), 11:53, 05/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    короче, как я понял во всем виновата Оменика со своими зверскими законами?)

    п.с. да, конечно, мы не можем залезть в мысли руководства гугла, но стоит помнить, что на каждого имеет влияние кто-то посторонний и я НЕ думаю что именно ПО РЕШЕНИЮ СУДА ГУГЛ ПОСТОЯННО ДЕЛАЕТ ВКЛАДЫ В МИР ОУПЕНСАУРС...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру