The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Разработчики Mozilla представили систему для защиты от web-атак

07.06.2008 11:27

Разработчики Mozilla представили новую экспериментальную систему Site Security Policy (SSP), предназначенную для защиты пользователей от таких видов сетевых атак как межсайтовый скриптинг (XSS), CSRF (Cross Site Request Forgery, например, когда на страницу помещается img src ссылка для выполнения операции на внешнем сайте, на котором пользователь авторизирован. XSS - проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Система также позволит защитить пользователей от выполнения поражающих браузер скриптов, загружаемых через вставленные злоумышленником блоки IFRAME или JavaScript, которыми, по опубликованной недавно статистике, заражено более полутора миллионов web-страниц, включая случаи инфицирования крупных и известных web-проектов, социальных и баннерных сетей.

Зафиксированы случаи размещения злоумышленником вредоносных HTML/JavaScript вставок в таких сервисах, как iGoogle, eBay, Roxer, Windows Live, MySpace / Facebook Widgets и т.д. Представленное SSP дополнение к браузеру Firefox, усиливает контроль над работой Web приложений, через кооперацию с владельцами сайтов. SSP позволяет явно определить список внешних ресурсов, используемых данным проектом. Таким образом, появляется возможность отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src.

Пример задания SSP политики (правила передаются браузеру через ряд дополнительных HTTP заголовков):


   // правило для script src
   X-SSP-Script-Source: allow *.example.com; deny public.example.com

   // правило для проверки допустимости межсайтовых запросов.
   // проверка запрашивается через отдельный HEAD запрос с HTTP заголовком "Policy-Query".
   X-SSP-Request-Source: deny * post; allow * get; expires 60
   X-SSP-Request-Source: allow *.example.com post,get; deny public.example.com *; expires 3600
   X-SSP-Request-Target: allow *.example.com *, deny public.example.com post

   // URI для отправки POST запроса для уведомления о нарушении заданных политик
   X-SSP-Report-URI: http://www.example.com/policy.cgi



  1. Главная ссылка к новости (http://it.slashdot.org/article...)
  2. Страница загрузки SSP плагина для Firefox
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/16347-mozilla
Ключевые слова: mozilla, firefox, security, xss, javascript, virus, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, stass (??), 12:05, 07/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Точно так же, как втыкают iframe, воткнут и вывод этих заголовков. В чём смысл?
     
     
  • 2.11, WarpwraP (?), 22:40, 07/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Точно так же, как втыкают iframe, воткнут и вывод этих заголовков. В
    >чём смысл?

    Для втыкания заголовков надо как минимум поломать сервер и огрести там права для его конфигурежки(чуть ли не рут).Для того чтобы впарить клиенту не хидеры а просто кусок хтмлятины, картинку или жабаскрипт всего этого нафиг не надо - достаточно накопать хилую валидацию закидываемого юзерами на сайт контента и втулить туда ссылку.А дальше браузер любезно загрузит юзеру совсем не то что задумывал вебмастер сайта в оригинале.В итоге посещая легитимный сервак вы можете заодно посетить и еще много чего, попутно малость попрощавшись с приваси а то и с куками содержащими пароли а от вашего имени могут что-то сделать (скажем форму запостить).Не больно то приятно когда заходишь на вполне порядочный сайт сайт а дальше вместо этого хакеры тебя кидают туда сюда как мячик для пинг-понга для своих левых целей.Данное хозяйство несколько усложнит подобные приколы.Посему шансы случайно посетить левый хацкерский сервер попутно с легитимным заметно снизятся.По-моему, очень грамотный подход, реальный ответ на массу дыр класса XSS в веб-приложениях.

     
     
  • 3.14, stass (??), 00:26, 08/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Для втыкания заголовков надо как минимум поломать сервер и огрести там права
    >для его конфигурежки(чуть ли не рут).

    Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было заражено через украденные пароли ftp и дыры в веб-приложения (в тех случаях, когда у приложения есть права модифицировать свои же файлы - к сожалению, такое наблюдается очень часто). Поэтому не составляет труда вместе с добавлением этих iframe, добавить ещё и выдачу заголовков (из любого php, cgi и т.д. это можно сделать. Никаких дополнительных прав для этого не нужно.).

     
     
  • 4.20, User294 (ok), 16:24, 10/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было
    >заражено через украденные пароли ftp и дыры в веб-приложения

    Понимаете в чем дело, это вы не XSS-уязвимости описываете... так что в сад.Сперва почитайте что такое XSS а потом умничайте.От полностью сломанного сервера - ничто особо не защитит.Он по определению может выдать любой контент, совсем не факт что дружественный к пользователю.

    Соответственно данная фишка лечит ТОЛЬКО от потенциально нежелательных действий 3rd party серверов.Для работы с ЖЕЛАТЕЛЬНЫМ сервером вы посещаете конкретно ДАННЫЙ сервер а тут бац и сайт на нем и заявляет - что надо бы еще сходить на сторонние сервера и сделать там то да се.При том не потому что так и задумано а потому что скажем фильтрация юзерского ввода не очень крутая и допустим юзер картинку а то и java script на стороннем сервере вывесил и смог пропихнуть ссылку на нее так что она внедрилась в контент легитимного сайта и браузер соответственно оттарабанил данное действие.Одно дело XSS устроить и другое - сервер порутать.Малость разные по степени серьезности атаки.

     
  • 2.19, spamtrap (ok), 10:20, 09/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    такое получится не везде. риск конечно остаётся, но он уменьшается. добавить "хитрый" комментарий в блоге уже не получится, например
     

  • 1.2, littlesavage (?), 12:12, 07/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О! А идея мне нравится.
     
     
  • 2.12, WarpwraP (?), 22:50, 07/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >О! А идея мне нравится.

    +1, неплохо задумано.Во всяком случае решений лучше пока нет, так что если кто-то гундеть собрался - велкам, предлагайте что-то лучшее, вам все только спасибо скажут за более безопасный веб-браузинг.

     

  • 1.3, Аноним (-), 12:55, 07/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а чем NoScript + AdBlock Plus не угодили ?
     
     
  • 2.4, psyhomo (?), 13:03, 07/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а чем NoScript + AdBlock Plus не угодили ?

    AdBlock тут вообще не причем, а что до NoScript, то как быть с XSS на сайтах которым доверяешь?

     
     
  • 3.7, Аноним (-), 15:02, 07/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    в NoScript есть белый список... и всё работает (поисковый запрос с ya.ru нормально перекидывает на yandex.ru).
     
     
  • 4.10, Aleksey (??), 20:08, 07/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >в NoScript есть белый список... и всё работает (поисковый запрос с ya.ru
    >нормально перекидывает на yandex.ru).

    Э-э-э. Вы не поверите, но он вас нормально перекинет даже если вы занесете сайт в черный список.

     
     
  • 5.16, Аноним (-), 09:23, 08/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > нормально перекинет даже если вы занесете сайт в черный список.

    Только что проверил... добавил тот-же ya.ru в чёрный список и ничего не произошло. Поисковый запрос не добавился и открылась просто страница yandex.ru _без_ результатов поиска и _без_ запроса url.

     
  • 2.13, WarpwraP (?), 22:54, 07/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а чем NoScript + AdBlock Plus не угодили ?

    Наверное тем что они не имеют удобного и автоматического метода определения что льзя а что нельзя.Тупо рубануть весь траффик за пределы домена - не вариант, юзеру много геморроя и потеря функционала.А тут - сервер сам расскажет какие взаимодействия с внешними сайтами по его мнению могут иметь место в контексте работы с ним(грубо говоря, это нечто типа описания какие данные и где еще кроме своего сервера может юзать данный сайт).

     

  • 1.5, Aleksey (??), 13:40, 07/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Идея очень хорошая. Особенно, если производители большинства браузеров примут ее.
     
  • 1.6, Аноним (6), 13:47, 07/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > вставки от полезных (баннерные сети, внешние блоки новостей)

    С каких пор баннерные сети стали полезными? Да и новости, если разобраться... :)

     
     
  • 2.8, Аноним (6), 17:26, 07/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> вставки от полезных (баннерные сети, внешние блоки новостей)
    >
    >С каких пор баннерные сети стали полезными? Да и новости, если разобраться...
    >:)

    если "разобраться", то бесполезным можно признать вообще все что угодно. А когда баннеры стали полезным ты можешь додумать сам. Ключевая фраза "бесплатный контент".

     
     
  • 3.9, Все тот же аноним (?), 18:28, 07/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Ключевая фраза "бесплатный контент".

    Если Вам, уважаемый, настолько дорого обходится то, что Вы называете "контентом", продавайте его за деньги. Или прекратите его генерировать, - уверяю Вас, никто этого даже не заметит. И Сеть станет чуточку чище. То, что Вы называете "новости" - жевательная резинка для быдла. Нормальные новостные ленты стоят денег, а у нормальных программных продуктов есть свои новостные каналы.

    Право на жизнь имеет контекстная реклама - то, как делает google. Все остальное дерьмо режется без сожаления.

     
     
  • 4.17, Guest (??), 19:23, 08/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    +100

    > Право на жизнь имеет контекстная реклама - то, как делает google

    Тоже не имеет и тоже режется без сожаления.

     
     
  • 5.18, Oles (?), 21:58, 08/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Право на жизнь имеет контекстная реклама - то, как делает google
    >Тоже не имеет и тоже режется без сожаления.

    И как она режется если она внутри хтмл?


     

  • 1.15, sokoloff (ok), 01:03, 08/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К этому бы добавить цифровую подпись.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру