Twitter и Mozilla проверяют стандарт защиты от XSS-атак

Twitter и Mozilla проверяют стандарт защиты от XSS-атак

...

Известный сервис микроблогов берется за тестирование новой системы противодействия межсайтовому исполнению сценариев, которая появилась в последнем выпуске Интернет-обозревателя Mozilla Firefox.


Одним из средств укрепления безопасности, которые Mozilla добавила в четвертую версию своего браузера, является так называемая политика защиты содержимого (Content Security Policy, CSP). Это двусторонний механизм, работоспособность которого обеспечивается как собственно обозревателем, так и ресурсом, страницы которого просматривает пользователь. Чтобы проверить систему в реальных, но в то же время контролируемых условиях, Twitter ввел ее поддержку на мобильной версии своего сайта.

Обычно XSS-атака выглядит следующим образом: злоумышленник получает возможность внедрить произвольный код JavaScript непосредственно в целевую страницу, и при ее открытии в браузере упомянутый код исполняется. Стандарт CSP потенциально позволяет защитить посетителей сетевых ресурсов от подобного нападения - но лишь в том случае, если сайт посылает обозревателю соответствующий "сигнал", а браузер, в свою очередь, этот сигнал понимает и обрабатывает.

Итак, принцип действия нового механизма следующий: администраторы ресурса, которые хотят обезопасить клиентов от межсайтового исполнения сценариев, добавляют в возвращаемый список заголовков строку "X-Content-Security-Policy", а на другой стороне канала связи Firefox, получив и опознав эту команду, автоматически отключает обработку всего JavaScript-кода, встроенного в страницу. Помимо этого, с помощью CSP руководство Интернет-ресурсов может запрашивать у браузера отчеты, основанные на информационных сообщениях JSON (JavaScript Object Notification) и выявлять таким образом возможные нарушения, свидетельствующие о попытках совершить XSS-атаку.

Естественно, что внедрение CSP может оказаться сопряжено с некоторыми трудозатратами: сотрудникам того же Twitter, например, пришлось удалить легитимный встроенный JavaScript из HTML-кода и составить списки разрешенного подгружаемого содержимого вроде оформительских таблиц CSS. Могут возникать и иные сложности, связанные с деятельностью поставщиков услуг Интернета, с работой расширений и дополнений к самому Firefox, с особенностями конкретных сайтов и т.д.; тем не менее, и разработчики Mozilla, и сотрудники Twitter настроены оптимистически, рассчитывая на широкое внедрение CSP в будущем.

eWeek

Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Solar Dozor 8.1 научилась предотвращать утечки из почты и мессенджеров

ГК «Солар» представила новую версию своей DLP-системы Solar Dozor — релиз 8.1. Основной упор в обновлении сделан на борьбу с утечками конфиденциальной информации из корпоративной почты и мессенджеров.

По данным компании, в ходе более 300 пилотных внедрений выяснилось, что сотрудники нередко сохраняют черновики с рабочими документами и пересылают их себе на личные устройства — чтобы, например, прочитать по дороге. Но именно такие действия и становятся источником утечек.

Теперь Solar Dozor может отследить попытки загрузить конфиденциальный файл из письма или черновика и заблокировать операцию. Это касается, в том числе, вложений вроде презентаций, PDF-документов или баз данных клиентов.

Если пользователь попробует переслать такие файлы или даже изображение с чувствительной информацией (например, скан договора) через web-версию мессенджера, система также среагирует. Встроенный OCR-движок умеет распознавать текст в картинках и анализировать его на наличие «секретов».

Особое внимание в этом релизе уделено мессенджерам Telegram и WhatsApp. По данным экспертов, 35% утечек связаны именно с ними. DLP-агенты теперь умеют блокировать отправку сообщений и файлов с корпоративных устройств под управлением Windows, Linux и macOS, если обнаруживают чувствительные данные.

Также в версии 8.1 появились инструменты для упрощения развёртывания и настройки системы:

  • графический инсталлятор, который позволяет запустить систему без инженеров и техподдержки;
  • конструктор для маппинга заголовков — с его помощью можно настроить интеграцию с почтовыми и другими внешними сервисами по ICAP/HTTP, а полученные «алерты» будут отображаться в понятном виде.

Новый релиз закрывает важные векторы утечек — от скачивания рабочих документов на личные устройства до пересылки через мессенджеры с корпоративных машин. В условиях растущих штрафов за инциденты и ужесточения законодательства по персональным данным это становится всё более актуальным.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru