h(f)ucker
05.10.2009, 22:50
05 октября 2009 года, 21:55
Организация Mozilla представила тестовую альфа-версию браузера Firefox 3.7, снабженного новой технологией защиты от веб-атак.
http://10pix.ru/img1/8585/298760.jpg (http://10pix.ru/)
Схема XSS. Злоумышленник посылает жертве (1) ссылку на содержащий вредоносный код сайт (2), открывая который через браузер (3), пользователь запускает сценарий (4), открывающий хакеру доступ к компьютеру (5).
Фреймворк Content Security Policy (CSP) защищает от межсайтового скриптинга (XSS). Кроме того, поддерживающие CSP браузеры предусматривают наличие защиты от клик-джекинга и мониторинга пакетов.
Спецификация CSP описывает структуру нового HTTP-заголовка, в котором веб-мастер указывает, какие из сценариев разрешены для выполнения в рамках домена и к каким внешним ресурсам может обращаться код веб-страницы в случае необходимости вставки элементов (к примеру, баннеров или новостных блоков).
Ознакомиться с возможностями технологии CSP можно на специальной демонстрационной странице (http://people.mozilla.org/~bsterne/content-security-policy/demo.cgi) , предлагающей 11 примеров атак.
По словам менеджера программы безопасности Mozilla Брэндона Стерна (Brandon Sterne), реализация CSP очень похожа на технологию защиты, предлагаемую в рамках расширения NoScript.
Этот плагин блокирует выполнение кода JavaScript, Java и Flash, так как злоумышленники нередко прибегают к этим технологиям. Основное отличие в том, что CSP позволяет определить самостоятельную политику поведения веб-ресурса.
Mozilla приглашает веб-разработчиков и специалистов в области безопасности к обстоятельному тестированию новой технологии.
Источник (http://net.compulenta.ru/464569/)
Организация Mozilla представила тестовую альфа-версию браузера Firefox 3.7, снабженного новой технологией защиты от веб-атак.
http://10pix.ru/img1/8585/298760.jpg (http://10pix.ru/)
Схема XSS. Злоумышленник посылает жертве (1) ссылку на содержащий вредоносный код сайт (2), открывая который через браузер (3), пользователь запускает сценарий (4), открывающий хакеру доступ к компьютеру (5).
Фреймворк Content Security Policy (CSP) защищает от межсайтового скриптинга (XSS). Кроме того, поддерживающие CSP браузеры предусматривают наличие защиты от клик-джекинга и мониторинга пакетов.
Спецификация CSP описывает структуру нового HTTP-заголовка, в котором веб-мастер указывает, какие из сценариев разрешены для выполнения в рамках домена и к каким внешним ресурсам может обращаться код веб-страницы в случае необходимости вставки элементов (к примеру, баннеров или новостных блоков).
Ознакомиться с возможностями технологии CSP можно на специальной демонстрационной странице (http://people.mozilla.org/~bsterne/content-security-policy/demo.cgi) , предлагающей 11 примеров атак.
По словам менеджера программы безопасности Mozilla Брэндона Стерна (Brandon Sterne), реализация CSP очень похожа на технологию защиты, предлагаемую в рамках расширения NoScript.
Этот плагин блокирует выполнение кода JavaScript, Java и Flash, так как злоумышленники нередко прибегают к этим технологиям. Основное отличие в том, что CSP позволяет определить самостоятельную политику поведения веб-ресурса.
Mozilla приглашает веб-разработчиков и специалистов в области безопасности к обстоятельному тестированию новой технологии.
Источник (http://net.compulenta.ru/464569/)