The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Разработчики Mozilla представили систему для защит..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Разработчики Mozilla представили систему для защит..."  
Сообщение от opennews (??) on 07-Июн-08, 12:05 
Разработчики Mozilla представили новую экспериментальную систему Site Security Policy (http://people.mozilla.com/~bsterne/site-security-policy/) (SSP), предназначенную для защиты пользователей от таких видов сетевых атак как межсайтовый скриптинг (XSS (http://en.wikipedia.org/wiki/XSS)), CSRF (http://en.wikipedia.org/wiki/CSRF)
(Cross Site Request Forgery, например, когда на страницу помещается img src ссылка для выполнения операции на внешнем сайте, на котором пользователь авторизирован. XSS - проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Система также позволит защитить пользователей от выполнения поражающих браузер скриптов, загружаемых через вставленные злоумышленником блоки IFRAME или JavaScript, которыми, по опубликованной недавно статистике (http://ddanchev.blogspot.com/2008/05/malware-domains-used-in...), заражено более полутора миллионов web-страниц, включая случаи инфицирования крупных и известных w...

URL: http://it.slashdot.org/article.pl?sid=08/06/06/1710212
Новость: http://www.opennet.dev/opennews/art.shtml?num=16347

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от stass (??) on 07-Июн-08, 12:05 
Точно так же, как втыкают iframe, воткнут и вывод этих заголовков. В чём смысл?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от WarpwraP on 07-Июн-08, 22:40 
>Точно так же, как втыкают iframe, воткнут и вывод этих заголовков. В
>чём смысл?

Для втыкания заголовков надо как минимум поломать сервер и огрести там права для его конфигурежки(чуть ли не рут).Для того чтобы впарить клиенту не хидеры а просто кусок хтмлятины, картинку или жабаскрипт всего этого нафиг не надо - достаточно накопать хилую валидацию закидываемого юзерами на сайт контента и втулить туда ссылку.А дальше браузер любезно загрузит юзеру совсем не то что задумывал вебмастер сайта в оригинале.В итоге посещая легитимный сервак вы можете заодно посетить и еще много чего, попутно малость попрощавшись с приваси а то и с куками содержащими пароли а от вашего имени могут что-то сделать (скажем форму запостить).Не больно то приятно когда заходишь на вполне порядочный сайт сайт а дальше вместо этого хакеры тебя кидают туда сюда как мячик для пинг-понга для своих левых целей.Данное хозяйство несколько усложнит подобные приколы.Посему шансы случайно посетить левый хацкерский сервер попутно с легитимным заметно снизятся.По-моему, очень грамотный подход, реальный ответ на массу дыр класса XSS в веб-приложениях.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от stass (??) on 08-Июн-08, 00:26 
>Для втыкания заголовков надо как минимум поломать сервер и огрести там права
>для его конфигурежки(чуть ли не рут).

Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было заражено через украденные пароли ftp и дыры в веб-приложения (в тех случаях, когда у приложения есть права модифицировать свои же файлы - к сожалению, такое наблюдается очень часто). Поэтому не составляет труда вместе с добавлением этих iframe, добавить ещё и выдачу заголовков (из любого php, cgi и т.д. это можно сделать. Никаких дополнительных прав для этого не нужно.).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от User294 (ok) on 10-Июн-08, 16:24 
>Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было
>заражено через украденные пароли ftp и дыры в веб-приложения

Понимаете в чем дело, это вы не XSS-уязвимости описываете... так что в сад.Сперва почитайте что такое XSS а потом умничайте.От полностью сломанного сервера - ничто особо не защитит.Он по определению может выдать любой контент, совсем не факт что дружественный к пользователю.

Соответственно данная фишка лечит ТОЛЬКО от потенциально нежелательных действий 3rd party серверов.Для работы с ЖЕЛАТЕЛЬНЫМ сервером вы посещаете конкретно ДАННЫЙ сервер а тут бац и сайт на нем и заявляет - что надо бы еще сходить на сторонние сервера и сделать там то да се.При том не потому что так и задумано а потому что скажем фильтрация юзерского ввода не очень крутая и допустим юзер картинку а то и java script на стороннем сервере вывесил и смог пропихнуть ссылку на нее так что она внедрилась в контент легитимного сайта и браузер соответственно оттарабанил данное действие.Одно дело XSS устроить и другое - сервер порутать.Малость разные по степени серьезности атаки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от spamtrap (ok) on 09-Июн-08, 10:20 
такое получится не везде. риск конечно остаётся, но он уменьшается. добавить "хитрый" комментарий в блоге уже не получится, например
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от littlesavage on 07-Июн-08, 12:12 
О! А идея мне нравится.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от WarpwraP on 07-Июн-08, 22:50 
>О! А идея мне нравится.

+1, неплохо задумано.Во всяком случае решений лучше пока нет, так что если кто-то гундеть собрался - велкам, предлагайте что-то лучшее, вам все только спасибо скажут за более безопасный веб-браузинг.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Аноним (??) on 07-Июн-08, 12:55 
а чем NoScript + AdBlock Plus не угодили ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от psyhomo on 07-Июн-08, 13:03 
>а чем NoScript + AdBlock Plus не угодили ?

AdBlock тут вообще не причем, а что до NoScript, то как быть с XSS на сайтах которым доверяешь?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Аноним (??) on 07-Июн-08, 15:02 
в NoScript есть белый список... и всё работает (поисковый запрос с ya.ru нормально перекидывает на yandex.ru).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Aleksey (??) on 07-Июн-08, 20:08 
>в NoScript есть белый список... и всё работает (поисковый запрос с ya.ru
>нормально перекидывает на yandex.ru).

Э-э-э. Вы не поверите, но он вас нормально перекинет даже если вы занесете сайт в черный список.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Аноним (??) on 08-Июн-08, 09:23 
> нормально перекинет даже если вы занесете сайт в черный список.

Только что проверил... добавил тот-же ya.ru в чёрный список и ничего не произошло. Поисковый запрос не добавился и открылась просто страница yandex.ru _без_ результатов поиска и _без_ запроса url.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от WarpwraP on 07-Июн-08, 22:54 
>а чем NoScript + AdBlock Plus не угодили ?

Наверное тем что они не имеют удобного и автоматического метода определения что льзя а что нельзя.Тупо рубануть весь траффик за пределы домена - не вариант, юзеру много геморроя и потеря функционала.А тут - сервер сам расскажет какие взаимодействия с внешними сайтами по его мнению могут иметь место в контексте работы с ним(грубо говоря, это нечто типа описания какие данные и где еще кроме своего сервера может юзать данный сайт).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Aleksey (??) on 07-Июн-08, 13:40 
Идея очень хорошая. Особенно, если производители большинства браузеров примут ее.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Аноним (??) on 07-Июн-08, 13:47 
> вставки от полезных (баннерные сети, внешние блоки новостей)

С каких пор баннерные сети стали полезными? Да и новости, если разобраться... :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Аноним (??) on 07-Июн-08, 17:26 
>> вставки от полезных (баннерные сети, внешние блоки новостей)
>
>С каких пор баннерные сети стали полезными? Да и новости, если разобраться...
>:)

если "разобраться", то бесполезным можно признать вообще все что угодно. А когда баннеры стали полезным ты можешь додумать сам. Ключевая фраза "бесплатный контент".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Все тот же аноним on 07-Июн-08, 18:28 
> Ключевая фраза "бесплатный контент".

Если Вам, уважаемый, настолько дорого обходится то, что Вы называете "контентом", продавайте его за деньги. Или прекратите его генерировать, - уверяю Вас, никто этого даже не заметит. И Сеть станет чуточку чище. То, что Вы называете "новости" - жевательная резинка для быдла. Нормальные новостные ленты стоят денег, а у нормальных программных продуктов есть свои новостные каналы.

Право на жизнь имеет контекстная реклама - то, как делает google. Все остальное дерьмо режется без сожаления.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Guest (??) on 08-Июн-08, 19:23 
+100

> Право на жизнь имеет контекстная реклама - то, как делает google

Тоже не имеет и тоже режется без сожаления.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от Oles email on 08-Июн-08, 21:58 
>> Право на жизнь имеет контекстная реклама - то, как делает google
>Тоже не имеет и тоже режется без сожаления.

И как она режется если она внутри хтмл?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Разработчики Mozilla представили систему для защиты от web-а..."  
Сообщение от sokoloff (ok) on 08-Июн-08, 01:03 
К этому бы добавить цифровую подпись.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру