OpenForum RSS: OpenNews: Разработчики Mozilla представили систему для защиты от web-атак https://www.opennet.me/openforum/vsluhforumID3/42242.html Разработчики Mozilla представили новую экспериментальную систему Site Security Policy (http://people.mozilla.com/~bsterne/site-security-policy/) (SSP), предназначенную для защиты пользователей от таких видов сетевых атак как межсайтовый скриптинг (XSS (http://en.wikipedia.org/wiki/XSS)), CSRF (http://en.wikipedia.org/wiki/CSRF)<br> (Cross Site Request Forgery, например, когда на страницу помещается img src ссылка для выполнения операции на внешнем сайте, на котором пользователь авторизирован. XSS - проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Система также позволит защитить пользователей от выполнения поражающих браузер скриптов, загружаемых через вставленные злоумышленником блоки IFRAME или JavaScript, которыми, по опубликованной недавно статистике (http://ddanchev.blogspot.com/2008/05/malware-domains-used-in-sql-injection.html), заражено более полутора миллионов web-страниц, включая случаи инфицирования крупных и известных w...<br><br>URL: http://it.slas Разработчики Mozilla представили систему для защиты от web-а... (User294) https://www.opennet.me/openforum/vsluhforumID3/42242.html#20 Tue, 10 Jun 2008 12:24:08 GMT &gt;Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было <br>&gt;заражено через украденные пароли ftp и дыры в веб-приложения <br><br>Понимаете в чем дело, это вы не XSS-уязвимости описываете... так что в сад.Сперва почитайте что такое XSS а потом умничайте.От полностью сломанного сервера - ничто особо не защитит.Он по определению может выдать любой контент, совсем не факт что дружественный к пользователю.<br><br>Соответственно данная фишка лечит ТОЛЬКО от потенциально нежелательных действий 3rd party серверов.Для работы с ЖЕЛАТЕЛЬНЫМ сервером вы посещаете конкретно ДАННЫЙ сервер а тут бац и сайт на нем и заявляет - что надо бы еще сходить на сторонние сервера и сделать там то да се.При том не потому что так и задумано а потому что скажем фильтрация юзерского ввода не очень крутая и допустим юзер картинку а то и java script на стороннем сервере вывесил и смог пропихнуть ссылку на нее так что она внедрилась в контент легитимного сайта и браузер соответственно оттарабанил данное действие.Одно дело Разработчики Mozilla представили систему для защиты от web-а... (spamtrap) https://www.opennet.me/openforum/vsluhforumID3/42242.html#19 Mon, 09 Jun 2008 06:20:30 GMT такое получится не везде. риск конечно остаётся, но он уменьшается. добавить "хитрый" комментарий в блоге уже не получится, например<br> Разработчики Mozilla представили систему для защиты от web-а... (Oles) https://www.opennet.me/openforum/vsluhforumID3/42242.html#18 Sun, 08 Jun 2008 17:58:01 GMT &gt;&gt; Право на жизнь имеет контекстная реклама - то, как делает google<br>&gt;Тоже не имеет и тоже режется без сожаления. <br><br>И как она режется если она внутри хтмл?<br><br><br> Разработчики Mozilla представили систему для защиты от web-а... (Guest) https://www.opennet.me/openforum/vsluhforumID3/42242.html#17 Sun, 08 Jun 2008 15:23:10 GMT +100<br><br>&gt; Право на жизнь имеет контекстная реклама - то, как делает google<br><br>Тоже не имеет и тоже режется без сожаления.<br> Разработчики Mozilla представили систему для защиты от web-а... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/42242.html#16 Sun, 08 Jun 2008 05:23:39 GMT &gt; нормально перекинет даже если вы занесете сайт в черный список.<br><br>Только что проверил... добавил тот-же ya.ru в чёрный список и ничего не произошло. Поисковый запрос не добавился и открылась просто страница yandex.ru _без_ результатов поиска и _без_ запроса url.<br> Разработчики Mozilla представили систему для защиты от web-атак (sokoloff) https://www.opennet.me/openforum/vsluhforumID3/42242.html#15 Sat, 07 Jun 2008 21:03:16 GMT К этому бы добавить цифровую подпись.<br> Разработчики Mozilla представили систему для защиты от web-а... (stass) https://www.opennet.me/openforum/vsluhforumID3/42242.html#14 Sat, 07 Jun 2008 20:26:37 GMT &gt;Для втыкания заголовков надо как минимум поломать сервер и огрести там права <br>&gt;для его конфигурежки(чуть ли не рут).<br><br>Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было заражено через украденные пароли ftp и дыры в веб-приложения (в тех случаях, когда у приложения есть права модифицировать свои же файлы - к сожалению, такое наблюдается очень часто). Поэтому не составляет труда вместе с добавлением этих iframe, добавить ещё и выдачу заголовков (из любого php, cgi и т.д. это можно сделать. Никаких дополнительных прав для этого не нужно.).<br> Разработчики Mozilla представили систему для защиты от web-а... (WarpwraP) https://www.opennet.me/openforum/vsluhforumID3/42242.html#13 Sat, 07 Jun 2008 18:54:42 GMT &gt;а чем NoScript + AdBlock Plus не угодили ? <br><br>Наверное тем что они не имеют удобного и автоматического метода определения что льзя а что нельзя.Тупо рубануть весь траффик за пределы домена - не вариант, юзеру много геморроя и потеря функционала.А тут - сервер сам расскажет какие взаимодействия с внешними сайтами по его мнению могут иметь место в контексте работы с ним(грубо говоря, это нечто типа описания какие данные и где еще кроме своего сервера может юзать данный сайт).<br> Разработчики Mozilla представили систему для защиты от web-а... (WarpwraP) https://www.opennet.me/openforum/vsluhforumID3/42242.html#12 Sat, 07 Jun 2008 18:50:51 GMT &gt;О! А идея мне нравится. <br><br>+1, неплохо задумано.Во всяком случае решений лучше пока нет, так что если кто-то гундеть собрался - велкам, предлагайте что-то лучшее, вам все только спасибо скажут за более безопасный веб-браузинг.<br>