Twitter и Mozilla проверяют стандарт защиты от XSS-атак
Главная » Новости

Twitter и Mozilla проверяют стандарт защиты от XSS-атак

Николай Головко 23 Марта 2011 - 07:11
...

Известный сервис микроблогов берется за тестирование новой системы противодействия межсайтовому исполнению сценариев, которая появилась в последнем выпуске Интернет-обозревателя Mozilla Firefox.


Одним из средств укрепления безопасности, которые Mozilla добавила в четвертую версию своего браузера, является так называемая политика защиты содержимого (Content Security Policy, CSP). Это двусторонний механизм, работоспособность которого обеспечивается как собственно обозревателем, так и ресурсом, страницы которого просматривает пользователь. Чтобы проверить систему в реальных, но в то же время контролируемых условиях, Twitter ввел ее поддержку на мобильной версии своего сайта.

Обычно XSS-атака выглядит следующим образом: злоумышленник получает возможность внедрить произвольный код JavaScript непосредственно в целевую страницу, и при ее открытии в браузере упомянутый код исполняется. Стандарт CSP потенциально позволяет защитить посетителей сетевых ресурсов от подобного нападения - но лишь в том случае, если сайт посылает обозревателю соответствующий "сигнал", а браузер, в свою очередь, этот сигнал понимает и обрабатывает.

Итак, принцип действия нового механизма следующий: администраторы ресурса, которые хотят обезопасить клиентов от межсайтового исполнения сценариев, добавляют в возвращаемый список заголовков строку "X-Content-Security-Policy", а на другой стороне канала связи Firefox, получив и опознав эту команду, автоматически отключает обработку всего JavaScript-кода, встроенного в страницу. Помимо этого, с помощью CSP руководство Интернет-ресурсов может запрашивать у браузера отчеты, основанные на информационных сообщениях JSON (JavaScript Object Notification) и выявлять таким образом возможные нарушения, свидетельствующие о попытках совершить XSS-атаку.

Естественно, что внедрение CSP может оказаться сопряжено с некоторыми трудозатратами: сотрудникам того же Twitter, например, пришлось удалить легитимный встроенный JavaScript из HTML-кода и составить списки разрешенного подгружаемого содержимого вроде оформительских таблиц CSS. Могут возникать и иные сложности, связанные с деятельностью поставщиков услуг Интернета, с работой расширений и дополнений к самому Firefox, с особенностями конкретных сайтов и т.д.; тем не менее, и разработчики Mozilla, и сотрудники Twitter настроены оптимистически, рассчитывая на широкое внедрение CSP в будущем.

eWeek

Письмо автору

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Роскомнадзор обсуждает с маркетплейсами проверку сим-карт
Яков Шпунт 17 Июля 2025 - 17:56
Соответствие законодательству РФ Общее
Роскомнадзор обсуждает с маркетплейсами проверку сим-карт

Роскомнадзор совместно с маркетплейсами обсуждает возможность внедрения механизмов проверки сим-карт на предмет их использования мигрантами. По мнению ведомства, это может затруднить использование чужих номеров в мошеннических схемах.

Как сообщил источник ТАСС, соответствующая инициатива обсуждалась на совещании в Роскомнадзоре с участием представителей крупных маркетплейсов. Одной из ключевых тем стала проверка сим-карт, которые используются иностранными гражданами.

«Как показывает практика, иностранные граждане при устройстве на работу нередко используют сим-карты, зарегистрированные на других лиц. Нововведение поможет решить, в том числе, проблему мошенничества с использованием чужих номеров», — отметил источник агентства.

На совещании рассматривались возможные варианты реализации такого контроля. В частности, работодателей, нанимающих мигрантов, могут обязать проверять, кому принадлежат номера, указанные в анкетных данных при приёме на работу. В случае нарушений ответственность будет нести работодатель.

Представители маркетплейсов предложили создать единую систему, с помощью которой можно было бы проверять принадлежность телефонных номеров. По их мнению, только такой централизованный подход может обеспечить эффективность механизма.

В свою очередь, представители Роскомнадзора рекомендовали тем отраслям, где доля мигрантов особенно высока, разработать меры контроля в рамках саморегулирования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
55% ИБ-преступлений в судах связаны с отраслью связи
Новость
55% ИБ-преступлений в судах связаны с отраслью связи
В Сети распространился дипфейк с губернатором Калининградской области
Новость
В Сети распространился дипфейк с губернатором Калининградско...
Мошенники снова звонят на стационарные номера
Новость
Мошенники снова звонят на стационарные номера

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.