Разработчики Mozilla представили новую экспериментальную систему Site Security Policy (http://people.mozilla.com/~bsterne/site-security-policy/) (SSP), предназначенную для защиты пользователей от таких видов сетевых атак как межсайтовый скриптинг (XSS (http://en.wikipedia.org/wiki/XSS)), CSRF (http://en.wikipedia.org/wiki/CSRF)
(Cross Site Request Forgery, например, когда на страницу помещается img src ссылка для выполнения операции на внешнем сайте, на котором пользователь авторизирован. XSS - проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Система также позволит защитить пользователей от выполнения поражающих браузер скриптов, загружаемых через вставленные злоумышленником блоки IFRAME или JavaScript, которыми, по опубликованной недавно статистике (http://ddanchev.blogspot.com/2008/05/malware-domains-used-in... заражено более полутора миллионов web-страниц, включая случаи инфицирования крупных и известных w...URL: http://it.slashdot.org/article.pl?sid=08/06/06/1710212
Новость: http://www.opennet.me/opennews/art.shtml?num=16347
Точно так же, как втыкают iframe, воткнут и вывод этих заголовков. В чём смысл?
>Точно так же, как втыкают iframe, воткнут и вывод этих заголовков. В
>чём смысл?Для втыкания заголовков надо как минимум поломать сервер и огрести там права для его конфигурежки(чуть ли не рут).Для того чтобы впарить клиенту не хидеры а просто кусок хтмлятины, картинку или жабаскрипт всего этого нафиг не надо - достаточно накопать хилую валидацию закидываемого юзерами на сайт контента и втулить туда ссылку.А дальше браузер любезно загрузит юзеру совсем не то что задумывал вебмастер сайта в оригинале.В итоге посещая легитимный сервак вы можете заодно посетить и еще много чего, попутно малость попрощавшись с приваси а то и с куками содержащими пароли а от вашего имени могут что-то сделать (скажем форму запостить).Не больно то приятно когда заходишь на вполне порядочный сайт сайт а дальше вместо этого хакеры тебя кидают туда сюда как мячик для пинг-понга для своих левых целей.Данное хозяйство несколько усложнит подобные приколы.Посему шансы случайно посетить левый хацкерский сервер попутно с легитимным заметно снизятся.По-моему, очень грамотный подход, реальный ответ на массу дыр класса XSS в веб-приложениях.
>Для втыкания заголовков надо как минимум поломать сервер и огрести там права
>для его конфигурежки(чуть ли не рут).Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было заражено через украденные пароли ftp и дыры в веб-приложения (в тех случаях, когда у приложения есть права модифицировать свои же файлы - к сожалению, такое наблюдается очень часто). Поэтому не составляет труда вместе с добавлением этих iframe, добавить ещё и выдачу заголовков (из любого php, cgi и т.д. это можно сделать. Никаких дополнительных прав для этого не нужно.).
>Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было
>заражено через украденные пароли ftp и дыры в веб-приложенияПонимаете в чем дело, это вы не XSS-уязвимости описываете... так что в сад.Сперва почитайте что такое XSS а потом умничайте.От полностью сломанного сервера - ничто особо не защитит.Он по определению может выдать любой контент, совсем не факт что дружественный к пользователю.
Соответственно данная фишка лечит ТОЛЬКО от потенциально нежелательных действий 3rd party серверов.Для работы с ЖЕЛАТЕЛЬНЫМ сервером вы посещаете конкретно ДАННЫЙ сервер а тут бац и сайт на нем и заявляет - что надо бы еще сходить на сторонние сервера и сделать там то да се.При том не потому что так и задумано а потому что скажем фильтрация юзерского ввода не очень крутая и допустим юзер картинку а то и java script на стороннем сервере вывесил и смог пропихнуть ссылку на нее так что она внедрилась в контент легитимного сайта и браузер соответственно оттарабанил данное действие.Одно дело XSS устроить и другое - сервер порутать.Малость разные по степени серьезности атаки.
такое получится не везде. риск конечно остаётся, но он уменьшается. добавить "хитрый" комментарий в блоге уже не получится, например
О! А идея мне нравится.
>О! А идея мне нравится.+1, неплохо задумано.Во всяком случае решений лучше пока нет, так что если кто-то гундеть собрался - велкам, предлагайте что-то лучшее, вам все только спасибо скажут за более безопасный веб-браузинг.
а чем NoScript + AdBlock Plus не угодили ?
>а чем NoScript + AdBlock Plus не угодили ?AdBlock тут вообще не причем, а что до NoScript, то как быть с XSS на сайтах которым доверяешь?
в NoScript есть белый список... и всё работает (поисковый запрос с ya.ru нормально перекидывает на yandex.ru).
>в NoScript есть белый список... и всё работает (поисковый запрос с ya.ru
>нормально перекидывает на yandex.ru).Э-э-э. Вы не поверите, но он вас нормально перекинет даже если вы занесете сайт в черный список.
> нормально перекинет даже если вы занесете сайт в черный список.Только что проверил... добавил тот-же ya.ru в чёрный список и ничего не произошло. Поисковый запрос не добавился и открылась просто страница yandex.ru _без_ результатов поиска и _без_ запроса url.
>а чем NoScript + AdBlock Plus не угодили ?Наверное тем что они не имеют удобного и автоматического метода определения что льзя а что нельзя.Тупо рубануть весь траффик за пределы домена - не вариант, юзеру много геморроя и потеря функционала.А тут - сервер сам расскажет какие взаимодействия с внешними сайтами по его мнению могут иметь место в контексте работы с ним(грубо говоря, это нечто типа описания какие данные и где еще кроме своего сервера может юзать данный сайт).
Идея очень хорошая. Особенно, если производители большинства браузеров примут ее.
> вставки от полезных (баннерные сети, внешние блоки новостей)С каких пор баннерные сети стали полезными? Да и новости, если разобраться... :)
>> вставки от полезных (баннерные сети, внешние блоки новостей)
>
>С каких пор баннерные сети стали полезными? Да и новости, если разобраться...
>:)если "разобраться", то бесполезным можно признать вообще все что угодно. А когда баннеры стали полезным ты можешь додумать сам. Ключевая фраза "бесплатный контент".
> Ключевая фраза "бесплатный контент".Если Вам, уважаемый, настолько дорого обходится то, что Вы называете "контентом", продавайте его за деньги. Или прекратите его генерировать, - уверяю Вас, никто этого даже не заметит. И Сеть станет чуточку чище. То, что Вы называете "новости" - жевательная резинка для быдла. Нормальные новостные ленты стоят денег, а у нормальных программных продуктов есть свои новостные каналы.
Право на жизнь имеет контекстная реклама - то, как делает google. Все остальное дерьмо режется без сожаления.
+100> Право на жизнь имеет контекстная реклама - то, как делает google
Тоже не имеет и тоже режется без сожаления.
>> Право на жизнь имеет контекстная реклама - то, как делает google
>Тоже не имеет и тоже режется без сожаления.И как она режется если она внутри хтмл?
К этому бы добавить цифровую подпись.