Разработчики из проекта Mozilla выступили с инициативой (https://blog.mozilla.org/security/2013/08/22/plug-n-hack/) продвижения нового протокола Plug-n-Hack, нацеленного на предоставление средств для интеграции с браузером инструментов для исследования безопасности.  Plug-n-Hack  позволят упростить и унифицировать процесс подключения к различным браузерам компонентов, способных контролировать потоки обрабатываемой информации и тестировать безопасность, не требуя при этом написания специфичных для каждого браузера дополнений.

Например, для анализа HTTP/HTTPS-трафика применяются внешние инструменты, которые запускаются и настраиваются отдельно, но, как правило, используются бок о бок с браузером, что приводит к необходимости многократного переключения между утилитой и браузером. Plug-n-Hack позволяет интегрировать поддержку обращения к подобным инструментам непосредственно в браузер. Для организации потоков данных в Plug-n-Hack используются уже поддерживаемые механизмы, напоминающие организацию работы через прокси-сервер, вместо которого выступают инструменты для анализа безопасности.

Текущая реализация протокола позволяет приложениям сообщать браузеру о своих возможностях, которые могут вызываться из браузера, передавать настройки прокси, SSL-сертификат и список обрабатываемых команд. В дальнейшем, исследователь безопасности, подключивший инструмент через Plug-n-Hack, может обращаться к нему непосредственно из консоли для web-разработчика и сразу просматривать результат. Из планов на будущее также отмечается реализация  средств для решения обратной задачи: браузер сможет декларировать список своих возможностей в рамках протокола Plug-n-Hack, что позволит задействовать браузер в качестве дополнения к внешнему приложению.

<center><a href="https://lh6.googleusercontent.com/Zfp0TAfswgxVDrm2Ex5i0tXmD3... src="http://www.opennet.me/opennews/pics_base/0_1377456432.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>

В настоящее время поддержка протокола Plug-n-Hack уже доступна для Firefox. Разработчики надеются, что производители других браузеров присоединятся к инициативе и добавят поддержку Plug-n-Hack в свои продукты. В инструментах для исследования безопасности достаточно будет реализовать поддержку Plug-n-Hack, чтобы полностью автоматизировать настройку интеграции инструмента  с  любым браузером, поддерживающего предложенный протокол. Среди инструментов для которых уже обеспечена поддержка Plug-n-Hack отмечается система всестороннего анализа веб-сайта на уязвимости OWASP Zed Attack Proxy (http://www.opennet.me/opennews/art.shtml?num=34844).

URL: https://blog.mozilla.org/security/2013/08/22/plug-n-hack/
Новость: http://www.opennet.me/opennews/art.shtml?num=37743

• Проект Mozilla представил протокол Plug-n-Hack,lucentcode, 23:11 , 25-Авг-13
  • Проект Mozilla представил протокол Plug-n-Hack,Аноним, 01:01 , 26-Авг-13
    • Проект Mozilla представил протокол Plug-n-Hack,Xasd, 12:35 , 26-Авг-13
      • Проект Mozilla представил протокол Plug-n-Hack,cdecl, 16:37 , 26-Авг-13
        • Проект Mozilla представил протокол Plug-n-Hack,Xasd, 16:48 , 26-Авг-13
          • Проект Mozilla представил протокол Plug-n-Hack,arisu, 12:50 , 30-Авг-13
      • Проект Mozilla представил протокол Plug-n-Hack,Аноним, 03:54 , 27-Авг-13
• Проект Mozilla представил протокол Plug-n-Hack,Аноним, 23:48 , 25-Авг-13
  • Проект Mozilla представил протокол Plug-n-Hack,Аноним, 08:29 , 26-Авг-13
• Проект Mozilla представил протокол Plug-n-Hack,Crazy Alex, 23:58 , 25-Авг-13
  • Проект Mozilla представил протокол Plug-n-Hack,YetAnotherOnanym, 01:33 , 26-Авг-13
    • Проект Mozilla представил протокол Plug-n-Hack,Crazy Alex, 01:54 , 26-Авг-13
      • Проект Mozilla представил протокол Plug-n-Hack,Lain_13, 02:10 , 26-Авг-13
        • Проект Mozilla представил протокол Plug-n-Hack,Crazy Alex, 05:52 , 26-Авг-13
      • Проект Mozilla представил протокол Plug-n-Hack,Аноним, 09:57 , 26-Авг-13
        • Проект Mozilla представил протокол Plug-n-Hack,Xasd, 12:37 , 26-Авг-13
          • Проект Mozilla представил протокол Plug-n-Hack,Аноним, 14:49 , 26-Авг-13
          • Проект Mozilla представил протокол Plug-n-Hack,Crazy Alex, 16:43 , 26-Авг-13
            • Проект Mozilla представил протокол Plug-n-Hack,Xasd, 16:51 , 26-Авг-13
              • Проект Mozilla представил протокол Plug-n-Hack,Crazy Alex, 19:19 , 26-Авг-13
                • Проект Mozilla представил протокол Plug-n-Hack,arisu, 12:53 , 30-Авг-13
          • Проект Mozilla представил протокол Plug-n-Hack,Crazy Alex, 16:45 , 26-Авг-13
            • Проект Mozilla представил протокол Plug-n-Hack,Xasd, 16:58 , 26-Авг-13
              • Проект Mozilla представил протокол Plug-n-Hack,бедный буратино, 17:04 , 26-Авг-13
                • Проект Mozilla представил протокол Plug-n-Hack,Xasd, 19:09 , 26-Авг-13
      • Проект Mozilla представил протокол Plug-n-Hack,Аноним, 16:32 , 26-Авг-13
        • Проект Mozilla представил протокол Plug-n-Hack,Crazy Alex, 19:23 , 26-Авг-13
      • Проект Mozilla представил протокол Plug-n-Hack,arisu, 12:51 , 30-Авг-13
• Проект Mozilla представил протокол Plug-n-Hack,Аноним, 01:57 , 26-Авг-13
• Проект Mozilla представил протокол Plug-n-Hack,Аноним же, 08:49 , 26-Авг-13
  • Проект Mozilla представил протокол Plug-n-Hack,Онамин, 09:13 , 26-Авг-13
• Проект Mozilla представил протокол Plug-n-Hack,Аноним, 09:12 , 26-Авг-13
• Проект Mozilla представил протокол Plug-n-Hack,Аноним, 23:53 , 26-Авг-13
  • Проект Mozilla представил протокол Plug-n-Hack,Crazy Alex, 03:15 , 27-Авг-13
    • Проект Mozilla представил протокол Plug-n-Hack,oWeRQ, 13:21 , 27-Авг-13
      • Проект Mozilla представил протокол Plug-n-Hack,Crazy Alex, 19:07 , 27-Авг-13
        • Проект Mozilla представил протокол Plug-n-Hack,tessel, 15:35 , 03-Сен-13
          • Проект Mozilla представил протокол Plug-n-Hack,arisu, 16:10 , 03-Сен-13
    • Проект Mozilla представил протокол Plug-n-Hack,Аноним, 15:41 , 27-Авг-13

Интересное начинание. Надеюсь, данный протокол добавят в Chromium. Удобно запускать нужные утилиты из браузера, а не переключаться по сто раз в консоль и обратно. Почему-то мне кажется, что таким образом будут подключать не только приложения для исследования безопасности, но и приложения для разработки и деплоя.

Ага, ботмейкеры думается оценят.

а зачем ботам нужен браузер? :)

как же зачем? откуда им еще в сеть выходить?
ну и mitm выходит писать станет еще проще

ну вот например -- Google выпустила библиотеку -- Gumbo (а до Gumbo -- была и ещё целая куча её аналогов :))..

самое то для ботоводов :)

> а до Gumbo — была и ещё целая куча её аналогов

аналоги не покажешь, а, умник? хоть штучки три. чтобы на C и без дополнительных зависимостей? или ты как всегда вякнул ерунду?

> а зачем ботам нужен браузер? :)

Ну вот например спамботы совсем не откажутся залогиниться через браузер и потом делать свое черное дело, да? :)

сокращенно - ПНХ (PnH). соотечественники оценят.

какой интеллект - такие и шутки

ДА!!!! Плевать на собственно исследования безопасности - но из этого же получится нормальная интеграция браузера в систему. Давно пора.

Спасибо, мы это уже проходили. (Или это был сарказм?)

Никакого сраказма. Сейчас браузер - это такая вешь в себе, с расширениями, которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке. Если можно будет стандартным образом вклиниваться в браузер извне - можно будет, скажем, алгоритмику кеширования ему сильно подкрутить - так, как сейчас бразуеры сделать не позволяют.

А кто тебе мешает влезть в сорцы и подкрутить на своё усмотрение прямо сейчас?

Танунафиг, заглядывал я в те сорцы. Там довольно сложная архитектура, даже если б за деньги - довольно долго думал бы, соглашаться ли. Вебкит чуть приличнее, но сама область такая, что простого там быть не может, похоже.

Ну и кроме того - одно дело - иметь стандартный инфтерфейс, и совсем другое - патчить каждую новую версию браузера.

Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск??? Или это был абстрактный конь в ваакуме?

> Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск???
> Или это был абстрактный конь в ваакуме?

это уж точно. вот что-что а кэш в браузерах работает как надо.

кроме исследований безопасности и всяких разных обратных инженерингов -- врядли можно придумать другое полезное примерение для PnH.

>> Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск???

Тю?

>> Или это был абстрактный конь в ваакуме?
> это уж точно. вот что-что а кэш в браузерах работает как надо.

Тю?

Поправка - оно работает как надо если используется  в ожидаемых условиях. ЧТо обычно означает - при постоянно доступном интернете.

Если же у нас что-то нестабильное - GPRS, или в поезде свзяь то появляется, то исчезает - то хотелось бы СОВСЕМ другое поведение - в зависимости от сайта, конечно. В частности - никаких "If Modified" на статику, при превышении како-то таймаута - отдача вместо графики плейсхолдеров, а в некоторых случаях, по запросу - полного кеширования страницы вне зависимости от заголовков, мета-тегов и прочего.

А применения можно придумать наверняка, но там надо копать, что еще они сделают доступным для инструмента. Пока виден только альтренативнй механизм проксирования, не меашющий тому, что может быть в браузере и не конфоиктующий с чем-то вроде FoxyProxy, ну и плюс возможность выкинуть дублирующее хранилище сертификатов из браузера и пользоваться только системным - лично у меня в этом плане к маинтайнерам Debian доверие несколько побольше, чем к мозилловцам, скажем.

> В частности - никаких "If Modified" на статику..

надеюсь ты осознаёшь -- что ты хочешь взять данные из кэша -- через нарушение протокола HTTP?! (и в целом через нарушение WWW-принципов)

если браузер не посылает -- If Modified -- то как тогда браузер узнает о том что было ВНЕЗАПНОЕ изменение статических данных?

вообще-то для твоей цели -- есть раздел стандарта под названием -- "Offline Web Applications" .. и в данном случае в качестве этих "Offline Web Applications" очень походят: форумы, новостные сайты, блоги, www-клиенты электронной почты, и т д...

...осталось только уговорить создателей стайтов использовать эту спецификацию. :-)

надеюсь ты уже написал письмо на электронную почту хозяевам сайтов, а иначем как они тогда узнают о том что тебе нужно "Offline Web Applications"? :)

Конечно осознаю. Больше того - и чем чревато в в курсе, как давний пользователь той же Оперы - ещё на диалапе.

Поинт как раз в том, что сей хак позволит мне более-менее безболезненно читать эти самые форумы прямо СЕЙЧАС, без уговоров их хозяев на следование еще одной ненужной им (потому что таких, как я - мало) спецификации.

И, кстати, я сильно не уверен, что спецификации дают возможность корректно обработать состояние нестабильной связи с рвущимися соединениями и возвращенными кусками файлов. Тормозов с рендерингом это точно прибавляет немало.

вообще-то это решается простым самопальным проксиком. проксь «для себя» на коленке пишется за пару часов, и никто не мешает в нём играть заголовками, как тебе угодно.

Другими словами - видели как кеширование в какой-нибудь Опере 6 было? Когда страница из сети обновлялась только явному запросу, а так - ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети - вот такое на файрфоксе не сделать сейчас без вмешательства в код.

> ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети

и даже XMLHttpRequest производился без обращения к сети?? :-)

>> ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети
> и даже XMLHttpRequest производился без обращения к сети?? :-)

В шестой опере?

:-)

> с расширениями, которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке

ещё один дурак не нашёл времени вникнуть в NPAPI, зато нашёл время брякнуть чушь в комментах

Дурак - это тот, кто не понимает разницу между ПЛАГИНОМ, который управляет браузер, и ИНТЕРФЕЙСОМ, взаимодействием с которым управляет внешняя система.

> Никакого сраказма. Сейчас браузер - это такая вешь в себе, с расширениями,
> которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке.

а вот если в браузер наконец интегрируют ядро ОС и графическую подсистему — будет ДА!

Хоть кто-то об удобстве хакеров беспокоится.

Ага, заодно дыры расширят похоже)))

Ага, заодно дыры расшарят похоже)))

//fixed

круто

Теперь нажимая "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" юзвери смогут устанавливать не только кучу тулбаров, нестандартных неудаляемых поисковиков и целых браузеров, а и сниферы и пр. штучки.

Туда и дорога. В Нормальных Системах этой мути просто нет.

Что за "Нормальные Системы" без снифферов и сканеров безопасности?

Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" - в линуксе их, знаете ли, как-то не завезли.

> Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить"
> - в линуксе их, знаете ли, как-то не завезли.

Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы. Вы просто не понимаете пока, как тонко на этом вас можно поиметь.

> Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы.
> Вы просто не понимаете пока, как тонко на этом вас можно
> поиметь.

ну так открой же нам глаза! естественно, с PoC'ом, потому что рассказы по типу «а вот если у маинтайнера украдут все ключи…» должны сопровождаться или этими самыми ключами, или скомпрометированными пакетами в репозиториях. и все другие страшилки тоже.

> Туда и дорога. В Нормальных Системах этой мути просто нет.

Windows 8?