Разработчики проекта Mozilla представили (http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-t.../) первый рабочий прототип Firefox (https://build.mozilla.org/tryserver-builds/bsterne@mozi.../) с реализацией технологии CSP (http://people.mozilla.org/~bsterne/content-security-policy/) (Content Security Policy), направленной на интеграцию в web-браузеры средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).
К работе по улучшению предварительной спецификации CSP (https://wiki.mozilla.org/Security/CSP/Spec) приглашаются производители других web-браузеров, эксперты по безопасности и web-мастера. Для знакомства с возможностями техноло...URL: http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-t.../
Новость: http://www.opennet.me/opennews/art.shtml?num=23723
в IE8 давно есть
Ага. Есть.
Сегодня один человек жаловался, что mail.ru криво открывается. Глянул код, а там г-на не то, что огород удобрить, на колхоз хватит. И все чудесно выполнялось и пыталось грузится. И загрузилось бы, кабы на шлюзе зарезано не было. В ФФ та же барада. Впрочем, майл.ру может и не использовать дополнительные заголовки, я не смотрел.
а при чем тут в том что вы написали IE8 и FF
>а при чем тут в том что вы написали IE8 и FF
>При том, что все едино веб разработчики это не применяют, а зря.
>в IE8 давно естьЧто там есть ? Как без определения web-мастером что можно блокировать, а что нет, разделить JavaScript вставку баннерной крутилки от JavaScript вставки злобного хакера ? Технически легальная от нелегальной вставки отличаются только именем домена.
>>в IE8 давно есть
>
>Что там есть ?
Ничего подобного.
> в IE8 давно естьВы б не завирались настолько? Или вам заплатили достаточно для того чтобы совесть отключилась совсем?
>> в IE8 давно есть
>
>Вы б не завирались настолько? Или вам заплатили достаточно для того чтобы
>совесть отключилась совсем?Вы б поинтересовались, прежде, чем хамили человеку.
http://www.securitylab.ru/news/384783.php
И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP?
для этого уже надо знать структуру движка веб-сайта
ну и для статики это в принципе невозможно
Ну, структуру хакер всё равно должен представлять. А .htaccess — такая же статика.
То же, что мешало вам прочесть про то, что такое XSS.
>И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP?Воткнуть свой код можно обойдя фильтры форума, блога, ... - любого сайта с user-generated контентом. А вот чтобы сменить заголовки сервера - надо тотально ломануть машину со всеми потрохами и поиметь права на правку конфига сервера. А это у нормальных людей - root.
Есть некоторая разница в сложности между инжектом барахла (допустим в коментах на форуме или там еще где) и поимением на машине полонценного рута, вы не находите?
Достаточно пользователя — владельца сайта. Конфиги и скрипты бывают и локальными.Но согласен — это прикроет вопиюще дырявые сайты, владельцы которых проявляют преступную доверчивость. Надеюсь, что браузер не будет это глотать молча, а отсветит огромным страшным предупреждением на треть экрана. Неотключаемым.
>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).Я ошибаюсь, или это + немножко ещё реализовано в noscript?
>>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).
>
>Я ошибаюсь, или это + немножко ещё реализовано в noscript?вы глубоко ошибаетесь
http://www.w3.org/TR/html401/interact/scripts.html#h-18.3.1
noscript.net нэ?
>noscript.net нэ?пардон, не подумал про плагин
Топор безусловно помогает от насморка и множества других болезней.
>>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).
>
>Я ошибаюсь, или это + немножко ещё реализовано в noscript?Noscript всё-таки немного другое, хотя и близкое.
>Я ошибаюсь, или это + немножко ещё реализовано в noscript?Идея похожая, реализация другая..
http://noscript.net/features#xss
Какая чёрт разница, какая реализация? Разрешить/запретить на этой странице выбранные js.
Разница в том, что хозяин сайта точно знает, что он на этом сайте ставил, а остальное - левое. А noscript этого не знает - в результате приходится выключать все подряд и держать здоровенный список исключений. Если же этот стандарт распространится, для noscript останутся только ситуации, когда пользователь хочет получить сайт не таким, каким задумывали разработчики.
не такой уж и здоровенный. думаю в пределах 50 хостов у меня.
набирается он очень непринужденно, даже с переносом не заморачиваюсь. проще заного сформировать по ходу дела.
реализовано
их AB как раз это оно
Теперь можно будет делать корявые-дырявые сайты без последствий.
Боюсь, что имеено этого разработчики и добиваются. Вместо налаживания настоящей безопасности веб девелоперы будут извращать сайты, чтобы обо всем позаботилась Мозилла.
бредовая идея резать контент и запросы.