|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форумы Разговоры, обсуждение новостей (Public) | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от opennews (??) on 25-Июн-09, 10:51 | ||
Брендон Штерн (Brandon Sterne), менеджер по проектам, связанным с безопасностью Mozilla, представил (http://blog.mozilla.com/security/2009/06/19/shutting-down-xs.../) новую политику безопасности Firefox, известную под названием Content Security Policy (https://wiki.mozilla.org/Security/CSP) (CSP). Новая политика направлена против эпидемии атак межсайтового скриптинга (XSS), в течение нескольких лет являющихся бичом многих популярных сайтов. | ||
Высказать мнение | Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
2. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Аноним (??) on 25-Июн-09, 10:54 | ||
Интересно, что мешает вместе с искусственным контентом и тег внедрить. И каковы отличия надёжных источников от ненадёжных. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
41. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от User294 (ok) on 26-Июн-09, 17:17 | ||
>Интересно, что мешает вместе с искусственным контентом и тег внедрить. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
4. "Mozilla вводит новую политику безопасности" | –3 +/– | |
Сообщение от Geol (??) on 25-Июн-09, 11:22 | ||
По моему какой-то адский ад. С одной стороны проблем с безопасностью не решает, так как надёжность источника будет подтверждать пользователь. С другой стороны создаёт кучу дополнительный проблем веб-программистом. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
5. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от szh (ok) on 25-Июн-09, 11:37 | ||
> С одной стороны проблем с безопасностью не решает, так как надёжность источника будет подтверждать пользователь. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
7. "Mozilla вводит новую политику безопасности" | –2 +/– | |
Сообщение от Geol (??) on 25-Июн-09, 12:07 | ||
>ты что-то путаешь. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
8. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от XoRe (ok) on 25-Июн-09, 12:18 | ||
>>ты что-то путаешь. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
10. "Mozilla вводит новую политику безопасности" | +1 +/– | |
Сообщение от PavelR (??) on 25-Июн-09, 12:21 | ||
| ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
17. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Geol (??) on 25-Июн-09, 16:40 | ||
Например куча сайтов с элементами типа <div onclick="" | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
40. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от PavelR (??) on 26-Июн-09, 14:38 | ||
>Например куча сайтов с элементами типа <div onclick="" | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
47. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от User294 (ok) on 26-Июн-09, 17:36 | ||
>в элементах выполнением доверенного скрипта ? | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
48. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Geol (??) on 26-Июн-09, 18:29 | ||
ну обработчики можно внедрять с помощью elemrnt.onclick="...", но вот что делать со старым кодом? | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
49. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от mr_gfd on 26-Июн-09, 20:08 | ||
>ну обработчики можно внедрять с помощью elemrnt.onclick="...", но вот что делать со | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
11. "Mozilla вводит новую политику безопасности" | +3 +/– | |
Сообщение от Pilat (ok) on 25-Июн-09, 12:29 | ||
>>ты что-то путаешь. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
18. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Geol (??) on 25-Июн-09, 16:42 | ||
| ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
20. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Pilat (ok) on 25-Июн-09, 17:15 | ||
> | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
27. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Geol (??) on 25-Июн-09, 18:11 | ||
Ну вообще то там речь шла не не про домены а про хосты. Впрочем, дай бог, чтобы ты был прав. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
50. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от mr_gfd on 26-Июн-09, 20:10 | ||
>Ну вообще то там речь шла не не про домены а про | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
14. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от _Bazz_ on 25-Июн-09, 13:04 | ||
>По моему какой-то адский ад. С одной стороны проблем с безопасностью не | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
42. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от User294 (ok) on 26-Июн-09, 17:18 | ||
>По моему какой-то адский ад. С одной стороны проблем с безопасностью не | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
13. "Mozilla вводит новую политику безопасности" | –3 +/– | |
Сообщение от anonymous (??) on 25-Июн-09, 12:59 | ||
Ага, офигенно. Как раньше XSS'ами вгоняли <script> так теперь будут вгонять <meta http-equiv="X-Content-Security-Policy" content="allow h4x0r.com" />. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
22. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Pilat (ok) on 25-Июн-09, 18:02 | ||
>Ага, офигенно. Как раньше XSS'ами вгоняли <script> так теперь будут вгонять <meta http-equiv="X-Content-Security-Policy" content="allow h4x0r.com" />. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
30. "Mozilla вводит новую политику безопасности" | –1 +/– | |
Сообщение от anonymous (??) on 25-Июн-09, 21:58 | ||
> Наверно такой тэг через meta просто не будет проходить. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
38. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Pilat (ok) on 26-Июн-09, 12:54 | ||
>> Наверно такой тэг через meta просто не будет проходить. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
46. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от User294 (ok) on 26-Июн-09, 17:31 | ||
>Так что, прозреваю в сией инициативе нечто с лужицей и газом. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
25. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от pro100master (ok) on 25-Июн-09, 18:10 | ||
Там на много больше в спецификации описано. Например запрет a href="javascript:blablabl();" и a href="#" onclick="blablabl();", любой eval, ин-лайн код в url и еще до кучи всего https://wiki.mozilla.org/Security/CSP/Spec | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
43. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от User294 (ok) on 26-Июн-09, 17:23 | ||
>Спрвашивается, а где разница? | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
51. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Gambler (ok) on 27-Июн-09, 00:16 | ||
В общем-то, сказанное верно. Но: | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
52. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от User294 (ok) on 27-Июн-09, 00:53 | ||
>Я очень надеюсь, что технологии типа CSP не взрастят идеологию "браузер всё | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
16. "Mozilla вводит новую политику безопасности" | +2 +/– | |
Сообщение от аноним on 25-Июн-09, 16:24 | ||
Замечательно, давно пора. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
19. "Mozilla вводит новую политику безопасности" | +1 +/– | |
Сообщение от Gambler (ok) on 25-Июн-09, 16:54 | ||
Этот CSP, конечно, сделает атаки XSS труднее, но только на тех браузерах, которые его поддерживают и на тех сайтах, которые его используют. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
23. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Pilat (ok) on 25-Июн-09, 18:03 | ||
>Этот CSP, конечно, сделает атаки XSS труднее, но только на тех браузерах, | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
28. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Gambler (ok) on 25-Июн-09, 18:29 | ||
Какая же фантастика, если все нормальные сайты это в какой-то форме делают? В общем-то, проблема XSS возникает только тогда, когда пользователям разрешают вводить данные в разных хитрых форматах, например ввиде урезанного HTML. Даже для таких случаев существуют весьма компактные программы, которые удаляют ненужное (т.е. все, что может содержать или вызывать скрипты). | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
29. "Mozilla вводит новую политику безопасности" | +1 +/– | |
Сообщение от Pilat (ok) on 25-Июн-09, 18:50 | ||
>Какая же фантастика, если все нормальные сайты это в какой-то форме делают? | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
31. "Mozilla вводит новую политику безопасности" | –1 +/– | |
Сообщение от Gambler (ok) on 25-Июн-09, 23:39 | ||
Фильтровать вводные данные, которые потом будут показываться на сайте, все равно надо обязательно, и не так уж это сложно. Так что, насколько я понимаю, этот CSP будет полезен _только_ в тех случаях, когда сайт проворонил закачанный врагом скрипт. И ради этого надо будет отказаться от встроенного жаваскрипта и простых событий в HTML. И еще делать отдельный поддомен для скриптов. И пихать какие-то теги на страницу или хедеры в заголовок. Ну а если каждый браузер себе такое придумает, отдельно? | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
32. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Pilat (ok) on 26-Июн-09, 00:58 | ||
>И ради этого надо будет отказаться от | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
33. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от Dick on 26-Июн-09, 09:04 | ||
Встроенный javascript и так считается порочной практикой. А уж javascript:-ссылки - абсолютное зло. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
39. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от аноним on 26-Июн-09, 13:28 | ||
>Встроенный javascript и так считается порочной практикой. А уж javascript:-ссылки - абсолютное зло | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
45. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от User294 (ok) on 26-Июн-09, 17:26 | ||
>поддомен для скриптов. И пихать какие-то теги на страницу или хедеры | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
53. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от User294 (ok) on 27-Июн-09, 00:57 | ||
>Какая же фантастика, если все нормальные сайты это в какой-то форме делают? | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
44. "Mozilla вводит новую политику безопасности" | +/– | |
Сообщение от User294 (ok) on 26-Июн-09, 17:24 | ||
> XSS лечится грамотной валидацией вводимых данных. | ||
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |