Twitter и Mozilla проверяют стандарт защиты от XSS-атак

Twitter и Mozilla проверяют стандарт защиты от XSS-атак

...

Известный сервис микроблогов берется за тестирование новой системы противодействия межсайтовому исполнению сценариев, которая появилась в последнем выпуске Интернет-обозревателя Mozilla Firefox.


Одним из средств укрепления безопасности, которые Mozilla добавила в четвертую версию своего браузера, является так называемая политика защиты содержимого (Content Security Policy, CSP). Это двусторонний механизм, работоспособность которого обеспечивается как собственно обозревателем, так и ресурсом, страницы которого просматривает пользователь. Чтобы проверить систему в реальных, но в то же время контролируемых условиях, Twitter ввел ее поддержку на мобильной версии своего сайта.

Обычно XSS-атака выглядит следующим образом: злоумышленник получает возможность внедрить произвольный код JavaScript непосредственно в целевую страницу, и при ее открытии в браузере упомянутый код исполняется. Стандарт CSP потенциально позволяет защитить посетителей сетевых ресурсов от подобного нападения - но лишь в том случае, если сайт посылает обозревателю соответствующий "сигнал", а браузер, в свою очередь, этот сигнал понимает и обрабатывает.

Итак, принцип действия нового механизма следующий: администраторы ресурса, которые хотят обезопасить клиентов от межсайтового исполнения сценариев, добавляют в возвращаемый список заголовков строку "X-Content-Security-Policy", а на другой стороне канала связи Firefox, получив и опознав эту команду, автоматически отключает обработку всего JavaScript-кода, встроенного в страницу. Помимо этого, с помощью CSP руководство Интернет-ресурсов может запрашивать у браузера отчеты, основанные на информационных сообщениях JSON (JavaScript Object Notification) и выявлять таким образом возможные нарушения, свидетельствующие о попытках совершить XSS-атаку.

Естественно, что внедрение CSP может оказаться сопряжено с некоторыми трудозатратами: сотрудникам того же Twitter, например, пришлось удалить легитимный встроенный JavaScript из HTML-кода и составить списки разрешенного подгружаемого содержимого вроде оформительских таблиц CSS. Могут возникать и иные сложности, связанные с деятельностью поставщиков услуг Интернета, с работой расширений и дополнений к самому Firefox, с особенностями конкретных сайтов и т.д.; тем не менее, и разработчики Mozilla, и сотрудники Twitter настроены оптимистически, рассчитывая на широкое внедрение CSP в будущем.

eWeek

Письмо автору

Яндекс подтвердил сбой после жалоб на Музыку, Еду, Лавку и Диск

Во вторник пользователи столкнулись с проблемами сразу в нескольких сервисах «Яндекса». Жалобы поступали на работу «Яндекс Музыки», «Кинопоиска», «Диска», «Еды», «Лавки», «Яндекс Книг», почты, поисковой системы и устройств умного дома с «Алисой».

Первые сообщения о неполадках начали появляться около 13:15 по московскому времени.

По данным сервиса Detector404, за короткое время было зафиксировано более 3,5 тысячи обращений от пользователей. Больше всего жалоб поступило из Москвы и Московской области, Санкт-Петербурга, Самарской и Новосибирской областей.

 

В самой компании подтвердили наличие проблемы.

«У ряда пользователей возникают временные трудности с доступом к некоторым сервисам. Наши специалисты работают над устранением сложностей», — сообщили в пресс-службе «Яндекса».

Пока компания не раскрывает причины произошедшего и не уточняет, связаны ли неполадки с внутренней инфраструктурой или внешними факторами.

На момент публикации специалисты продолжали восстанавливать работу сервисов. По данным Detector404, позже доступность сервисов начала восстанавливаться, однако у части пользователей проблемы могли сохраняться еще некоторое время.

RSS: Новости на портале Anti-Malware.ru