Перейти к содержанию

Recommended Posts

Danilka

В Internet Explorer 9 по умолчанию встроена система безопасности, предотвращающая отраженные XSS атаки. На сегодняшний момент известно множество недостатков этой системы. Основной недостаток заключается в отсутствии защиты от хранимых XSS и основанных на DOM XSS атаках. Система безопасности Internet Explorer расcчитана только на прямую или отраженную XSS атаку [1]. В этой статье описано три примера атак, подрывающие возможность Internet Explorer противостоять отраженному XSS. Данные примеры атак являются общими, независимо от платформы Веб-приложений.

Далее тут:

http://www.securitylab.ru/analytics/407785.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
В Internet Explorer 9 по умолчанию встроена система безопасности, предотвращающая отраженные XSS атаки. На сегодняшний момент известно множество недостатков этой системы. Основной недостаток заключается в отсутствии защиты от хранимых XSS и основанных на DOM XSS атаках. Система безопасности Internet Explorer расcчитана только на прямую или отраженную XSS атаку [1]. В этой статье описано три примера атак, подрывающие возможность Internet Explorer противостоять отраженному XSS. Данные примеры атак являются общими, независимо от платформы Веб-приложений.

Далее тут:

http://www.securitylab.ru/analytics/407785.php

Какие настройки браузера произвести, чтобы избежать этой опасности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
Какие настройки браузера произвести, чтобы избежать этой опасности?

В настройках обязательны запреты на сторонние куки и время от времени его полная очистка. Самое главное - запрет для браузера работать слишком продолжительное время, без закрытия оного... т.е. фактически, нет защиты, кроме превентивных методов.

-------------------

Данила, вы думаете, что FF (допустим без NoScript) сможет предотвратить XSS атаки, ограничить другие домены и межсайтовый скриптинг? :)

-----------

А вообще, эта шумиха мне кажется здесь не без вмешательства Google и их инженера по безопасности - Залевски... Пиар Google Chrome? :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
-------------------

Данила, вы думаете, что FF (допустим без NoScript) сможет предотвратить XSS атаки, ограничить другие домены и межсайтовый скриптинг? :)

Не интересовался :)

-----------

А вообще, эта шумиха мне кажется здесь не без вмешательства Google и их инженера по безопасности - Залевски... Пиар Google Chrome? :)

Да, они мне заплатили 100500$ :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
В настройках обязательны запреты на сторонние куки и время от времени его полная очистка. Самое главное - запрет для браузера работать слишком продолжительное время, без закрытия оного...

Для чего. Простите, не понял мысль

-------------------

Данила, вы думаете, что FF (допустим без NoScript) сможет предотвратить XSS атаки, ограничить другие домены и межсайтовый скриптинг? :)

А его кто-то использует без NoScript? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А его кто-то использует без NoScript? smile.gif

Использует :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А его кто-то использует без NoScript? :)

Да. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
Для чего. Простите, не понял мысль

Вот свежий пример на Xaker.ru XSS-атаки могут длиться вечно

-----------------

Да, они мне заплатили 100500$

Залевски давно говорил об таких уязвимостях браузеров, потом его приняли на работу в Google.

А позже, они стали рекламировать, что их Google Chrome защищен от подобных атак.

Вот, поэтому у меня вот такие домыслы. Никаких претензий к вам, наоборот только - плюсы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
      для проверки отдельного файла кэш не используется по очевидным причинам.
    • PR55.RP55
      Определять время применения GPO Определять время применения GPO - с привязкой к событию. ( например запуск... скрипта ) Писать в Инфо.
    • PR55.RP55
      Настройка vtCacheDays= не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.  
    • demkd
      ---------------------------------------------------------
       4.12.3
      ---------------------------------------------------------
       o Добавлено несколько новых ключей автозапуска.  o Добавлен новый флаг запуска "Проверять весь HKCR".
         Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
         Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
         Если флаг установлен:
          o Твик #37 не исправит все проблемные пути в реестре
          o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.  o Улучшена функция парсинга командной строки.  o Исправлена функция восстановления реестра для неактивной системы.
         Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
         Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
          o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
          o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.  o В окно информации о задаче добавлены даты создания и последнего запуска.  o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).  o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.  o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).  o Исправлена ошибка которая могла привести к переполнению буфера.  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.24.
×