• Авторизация


Site Security Policy 09-06-2008 20:30 к комментариям - к полной версии - понравилось!


Разработчики Mozilla представили новую экспериментальную систему Site Security Policy (SSP), предназначенную для защиты пользователей от таких видов сетевых атак как межсайтовый скриптинг (XSS), CSRF (Cross Site Request Forgery, например, когда на страницу помещается img src ссылка для выполнения операции на внешнем сайте, на котором пользователь авторизирован. XSS - проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Система также позволит защитить пользователей от выполнения поражающих браузер скриптов, загружаемых через вставленные злоумышленником блоки IFRAME или JavaScript, которыми, по опубликованной недавно статистике, заражено более полутора миллионов web-страниц, включая случаи инфицирования крупных и известных web-проектов, социальных и баннерных сетей.

Зафиксированы случаи размещения злоумышленником вредоносных HTML/JavaScript вставок в таких сервисах, как iGoogle, eBay, Roxer, Windows Live, MySpace / Facebook Widgets и т.д. Представленное SSP дополнение к браузеру Firefox, усиливает контроль над работой Web приложений, через кооперацию с владельцами сайтов. SSP позволяет явно определить список внешних ресурсов, используемых данным проектом. Таким образом, появляется возможность отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src.

Пример задания SSP политики (правила передаются браузеру через ряд дополнительных HTTP заголовков):

// правило для script src
X-SSP-Script-Source: allow *.example.com; deny public.example.com

// правило для проверки допустимости межсайтовых запросов.
// проверка запрашивается через отдельный HEAD запрос с HTTP заголовком "Policy-Query".
X-SSP-Request-Source: deny * post; allow * get; expires 60
X-SSP-Request-Source: allow *.example.com post,get; deny public.example.com *; expires 3600
X-SSP-Request-Target: allow *.example.com *, deny public.example.com post

// URI для отправки POST запроса для уведомления о нарушении заданных политик
X-SSP-Report-URI: http://www.example.com/policy.cgi

Ссылки:
OpenNet.ru
SlashDot
Расширение Site Security Policy
вверх^ к полной версии понравилось! в evernote


Вы сейчас не можете прокомментировать это сообщение.

Дневник Site Security Policy | Mozilla_FireFox - Сообщество любителей Mozilla FireFox | Лента друзей Mozilla_FireFox / Полная версия Добавить в друзья Страницы: раньше»