Twitter и Mozilla проверяют стандарт защиты от XSS-атак

...

Известный сервис микроблогов берется за тестирование новой системы противодействия межсайтовому исполнению сценариев, которая появилась в последнем выпуске Интернет-обозревателя Mozilla Firefox.


Одним из средств укрепления безопасности, которые Mozilla добавила в четвертую версию своего браузера, является так называемая политика защиты содержимого (Content Security Policy, CSP). Это двусторонний механизм, работоспособность которого обеспечивается как собственно обозревателем, так и ресурсом, страницы которого просматривает пользователь. Чтобы проверить систему в реальных, но в то же время контролируемых условиях, Twitter ввел ее поддержку на мобильной версии своего сайта.

Обычно XSS-атака выглядит следующим образом: злоумышленник получает возможность внедрить произвольный код JavaScript непосредственно в целевую страницу, и при ее открытии в браузере упомянутый код исполняется. Стандарт CSP потенциально позволяет защитить посетителей сетевых ресурсов от подобного нападения - но лишь в том случае, если сайт посылает обозревателю соответствующий "сигнал", а браузер, в свою очередь, этот сигнал понимает и обрабатывает.

Итак, принцип действия нового механизма следующий: администраторы ресурса, которые хотят обезопасить клиентов от межсайтового исполнения сценариев, добавляют в возвращаемый список заголовков строку "X-Content-Security-Policy", а на другой стороне канала связи Firefox, получив и опознав эту команду, автоматически отключает обработку всего JavaScript-кода, встроенного в страницу. Помимо этого, с помощью CSP руководство Интернет-ресурсов может запрашивать у браузера отчеты, основанные на информационных сообщениях JSON (JavaScript Object Notification) и выявлять таким образом возможные нарушения, свидетельствующие о попытках совершить XSS-атаку.

Естественно, что внедрение CSP может оказаться сопряжено с некоторыми трудозатратами: сотрудникам того же Twitter, например, пришлось удалить легитимный встроенный JavaScript из HTML-кода и составить списки разрешенного подгружаемого содержимого вроде оформительских таблиц CSS. Могут возникать и иные сложности, связанные с деятельностью поставщиков услуг Интернета, с работой расширений и дополнений к самому Firefox, с особенностями конкретных сайтов и т.д.; тем не менее, и разработчики Mozilla, и сотрудники Twitter настроены оптимистически, рассчитывая на широкое внедрение CSP в будущем.

eWeek

Письмо автору

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Пострадавшие от ThunderX теперь могут бесплатно расшифровать свои файлы

Пользователи и организации, пострадавшие от атаки программы-вымогателя ThunderX, теперь могут бесплатно расшифровать свои файлы. А всё благодаря команде Tesorion, разработавшей дешифратор.

Семейство шифровальщиков ThunderX ещё довольно молодое — первые атаки этой вредоносной программы эксперты зафиксировали в конце августа 2020 года.

Чуть позже исследователи в области кибербезопасности нашли баг в процессе шифрования, которое использовал ThunderX. Именно ошибка в коде помогла специалистам разработать инструмент для восстановления данных жертв.

Новый дешифратор работает с текущей версией ThunderX, которая добавляет к зашифрованным файлам расширение .tx_locked. Чтобы расшифровать свои данные, пользователи должны загрузить копию записки с требованиями (readme.txt) и один из пострадавших файлов. Тогда дешифратор выдаст нужный ключ.

 

Саму утилиту для расшифровки можно скачать с сайта проекта NoMoreRansom — здесь. По завершении дешифровки программа покажет количество успешно восстановленных файлов, а также число тех, что расшифровать не удалось.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru