https://www.opennet.me/openforum/vsluhforumID3/56197.html Брендон Штерн (Brandon Sterne), менеджер по проектам, связанным с безопасностью Mozilla, представил (http://blog.mozilla.com/security/2009/06/19/shutting-down-xss-with-content-security-policy/) новую политику безопасности Firefox, известную под названием Content Security Policy (https://wiki.mozilla.org/Security/CSP) (CSP). Новая политика направлена против эпидемии атак межсайтового скриптинга (XSS), в течение нескольких лет являющихся бичом многих популярных сайтов. <br><br><br><br>Стандартные XSS-атаки иногда используют уязвимости в web-приложениях для того, чтобы запустить в браузере JavaScript с правами доверяемого домена. С CSP браузер будет выполнять только скрипты с доменов, указанных в "белом списке" - всё остальное будет блокироваться. Это даёт администраторам возможность, например, указать свой собственный скрипт-сервер, с которого можно грузить и выполнять скрипты.<br><br><br>С CSP даже JavaScript, встроенный в страничку, по умолчанию не будет больше выполняться. Сайты будут иметь возможнос...<br><br>URL: http://www.h-o https://www.opennet.me/openforum/vsluhforumID3/56197.html#53 Fri, 26 Jun 2009 20:57:53 GMT &gt;Какая же фантастика, если все нормальные сайты это в какой-то форме делают?<br><br>Но XSS находят, так?Не понимаю, какие претензии к этой технологии?Хучший случай при ее работе - все остается как сейчас.Лучший - неленивые подтянут у себя секурити.Даже если это и потребует изменения кода.Хуже, определенно, не станет.Лучше (хоть и не для всех) - может.<br> https://www.opennet.me/openforum/vsluhforumID3/56197.html#52 Fri, 26 Jun 2009 20:53:17 GMT &gt;Я очень надеюсь, что технологии типа CSP не взрастят идеологию "браузер всё <br>&gt;защитит", и послудуюшее игнорирование безопасности со стороны сервера. <br><br>Эээ... а он вроде обратную взращиват - можно секурити подтянуть.Как раз со стороны сервера указав клиенту - что по мнению сервера безопасно.Если хочется.Если не хочется - оставьте как есть, наплевав на то что xss находят везде и постоянно.Какие проблемы?Вижу как может стать лучше.Хуже не станет, worst case == тому что есть сейчас.<br> https://www.opennet.me/openforum/vsluhforumID3/56197.html#51 Fri, 26 Jun 2009 20:16:55 GMT В общем-то, сказанное верно. Но:<br><br>&gt; фигня вопрос, достаточно придумать что-то что соберется в валидную конструкцию но пролезет через фильтры<br><br>Вопрос фигня, если фильтры фигня, чего быть не должно.<br><br>http://framework.korsengineering.com/?Doc_Comments.show&file=libs/HtmlFilter.php<br>http://us.php.net/manual/en/function.htmlspecialchars.php<br>http://htmlpurifier.org/<br><br>Я очень надеюсь, что технологии типа CSP не взрастят идеологию "браузер всё защитит", и послудуюшее игнорирование безопасности со стороны сервера.<br> https://www.opennet.me/openforum/vsluhforumID3/56197.html#50 Fri, 26 Jun 2009 16:10:35 GMT &gt;Ну вообще то там речь шла не не про домены а про <br>&gt;хосты. Впрочем, дай бог, чтобы ты был прав. <br><br>Мое предложение Вам - матчасть подучить. И заодно на первоисточник хоть краем глаза взглянуть - 99% вопросов, при знании основ, отпадет сходу.<br> https://www.opennet.me/openforum/vsluhforumID3/56197.html#49 Fri, 26 Jun 2009 16:08:33 GMT &gt;ну обработчики можно внедрять с помощью elemrnt.onclick="...", но вот что делать со <br>&gt;старым кодом? <br><br>Переписывать. Как XSS плодить - так нет проблем, а как писать правильно - так сразу вопросы об унаследованных технологиях.<br> https://www.opennet.me/openforum/vsluhforumID3/56197.html#48 Fri, 26 Jun 2009 14:29:01 GMT ну обработчики можно внедрять с помощью elemrnt.onclick="...", но вот что делать со старым кодом?<br> https://www.opennet.me/openforum/vsluhforumID3/56197.html#47 Fri, 26 Jun 2009 13:36:27 GMT &gt;в элементах выполнением доверенного скрипта ? <br><br>Могу предположить что это будет определяться где находится скрипт - на доверяемом сервере или нет.Ну, просто внедренный скрипт - да, можети и не будет работать (с хорошими целями).Кто печется о безопасности своих пользователей - сможет подтянуть гайки.Да, кой-что придется переписать при этом.Пофигисты смогут оставить юзеров on their own как и раньше.Просто ничего вообще не меняя.Единственное что было бы здорово если бы браузер показывал как-то индикацию - пофигист ли вебмастер вон того сайта или же подтянул гайки.<br> https://www.opennet.me/openforum/vsluhforumID3/56197.html#46 Fri, 26 Jun 2009 13:31:26 GMT &gt;Так что, прозреваю в сией инициативе нечто с лужицей и газом. <br><br>Прозреваю тормоза который не понимает что надуть фильтр воткнув свой левый JS - на пару порядков проще чем получить полноценный доступ на запись произвольных файлов на вебсерваке, чтобы переписать HTTP хидер или meta.Страница то может из введенных юзерами данных генериться - на форумах, блогах и прочих динамических сайтах.И лишь стремный фильтр который на все случаи жизни слабать трудно отделяет хакера от успеха XSS.А вот доступ на запись на сервант получить... если хакер это сделает, уже поздно что-то там защищать.Хакер в этом случае может просто рассовать вместо даунлоадов троянцев например, а то и базу умыкнуть, "поадминить" ресурс, etc - куда эффективнее несчастного XSS :)<br><br>Если кто не понял разницы - для тупых объясняю: нынче много сайтов где середина паги генерится из введенного контента.Например форумы и прочая.А вот &lt;meta&gt; или http хидеры не генерятся на основе того что там надолбили юзеры.Доступно для средних умов?<br> https://www.opennet.me/openforum/vsluhforumID3/56197.html#45 Fri, 26 Jun 2009 13:26:28 GMT &gt;поддомен для скриптов. И пихать какие-то теги на страницу или хедеры <br>&gt;в заголовок.<br><br>Ну, блин, не нравится - не делайте.А кому не пофиг на безопасность их юзеров - сделают.В итоге на сайтах где вебмастерам не пофиг поиметь юзеров будет труднее.В остальных случаях все будет как сейчас.Это плохо?По-моему нормальное средство для укрепления сайтов vs XSS для тех кому это надо.<br>