Google выпускает новые инструменты для предотвращения XSS-атак

Олег Иванов 28 Сентября 2016 - 12:03

Домашние пользователи

Малый и средний бизнес

Google

Средства тестирования на проникновение

Средства поиска уязвимостей

Уязвимости программ

...

Google выпускает новые инструменты для предотвращения XSS-атак

Google выпустили новые инструменты и документацию к ним, чтобы помочь разработчикам снизить риск атак XSS с помощью стандарта Content Security Policy (CSP).

XSS-уязвимости продолжают затрагивать многие веб-приложения, даже те, которые разработаны крупными компаниями. За последние два года Google выплатила экспертам 1,2 млн. долларов за обнаружение этих уязвимостей.

Одним из эффективных способов снижения риска XSS является CSP – механизм, позволяющий разработчикам ограничить выполнение определенных сценариев. Если политики настроены должным образом, злоумышленники не смогут загружать вредоносные скрипты, даже если им удастся внедрить HTML код в веб-страницу.

Однако CSP не способен полностью исключить риск XSS, даже если все настроено должным образом. Исследование, проведенное недавно экспертами Google, более чем на 1 млрд. доменов, показали, что политики CSP можно обойти в подавляющем большинстве случаев.

Google хочет помочь разработчикам, для этого они выпустили инструмент CSP Evaluator. Он помогает определить, насколько правильно сконфигурированы политики CSP. CSP Evaluator также существует в виде расширения для Chrome.

Несмотря на то, что такой инструмент может быть очень полезным, Google отметили, что на данный момент сложно создать белый список безопасных скриптов для сложных приложений.

Google сами использовали такой подход в некоторых своих приложениях, например: Cloud Console, History, Photos, Maps Timeline, Careers Search и Cultural Institute. Компания также выпустили другое расширение для Chrome - CSP Mitigator. Также доступна документация с описанием наиболее эффективных стратегий для реализации CSP.

Кроме того, Google привлекли экспертов по вопросам безопасности над дальнейшими исследованиями в области защиты от XSS-атак.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 15:48

Сбои оборудования Общее

Компьютер без RAM всё же запустили, но результат получился показательным

Рост цен на оперативную память уже дошёл до того, что люди начали задаваться почти философским вопросом: а можно ли вообще запустить компьютер без RAM? Именно это решил проверить YouTube-блогер PortalRunner. Интересно, что ответ оказался не совсем отрицательным.

Компьютер без оперативной памяти действительно можно заставить работать, но радоваться тут особенно нечему: пользоваться такой машиной в реальной жизни почти невозможно.

По сути, весь эксперимент быстро превращается в наглядное объяснение, зачем вообще нужна RAM и почему без неё современный десктоп моментально откатывается куда-то в далёкое прошлое.

Для начала PortalRunner попробовал обойтись минимальным объёмом памяти и переложить нагрузку на своп-файл. Другими, словами заставить систему активнее использовать накопитель вместо оперативки. Формально такой сценарий и так знаком любому компьютеру, когда RAM заканчивается, но на практике это работает мучительно медленно.

Была и ещё одна попытка — использовать вместо обычной RAM видеопамять со старых видеокарт. Звучит изобретательно, но итог примерно тот же: скорость всё равно не та, а полноценной заменой оперативной памяти такой подход не становится.

Самая забавное начинается позже, когда автор эксперимента решает зайти с другой стороны и использовать только кеш процессора. Он действительно намного быстрее обычной оперативки, но его катастрофически мало по современным меркам. Речь тут идёт не о гигабайтах, а о десятках мегабайт — объёме, который для 2026 года выглядит почти музейным.

В итоге эксперимент неожиданно превращается в путешествие во времени. Чтобы уложиться в такие ограничения, приходится буквально вспоминать подходы из 1980-х: ручную оптимизацию ассемблерного кода, предельно простую графику, минимализм во всём. Современный софт в такие рамки просто не помещается, поэтому запускать приходится что-то совсем крошечное.

И да, в финале всё это всё-таки заработало. После долгих манипуляций со старой материнской платой, BIOS и кучей низкоуровневой магии PortalRunner сумел запустить программу, работающую исключительно в кеше процессора. Этой программой оказалась Snake, что, в общем, довольно символично. Не Photoshop, не браузер, не Windows, а старая добрая «змейка».

Отдельная ирония в том, что для такого эксперимента пришлось искать довольно старое железо. На новых платах с UEFI подобные трюки провернуть заметно сложнее. Более того, одна из попыток вообще закончилась неудачной прошивкой BIOS и фактически убитой машиной.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!