Разработчики Mozilla выпустили прототип Firefox с защитой от XSS и CSRF атак

05.10.2009 11:47

Разработчики проекта Mozilla представили первый рабочий прототип Firefox с реализацией технологии CSP (Content Security Policy), направленной на интеграцию в web-браузеры средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).

К работе по улучшению предварительной спецификации CSP приглашаются производители других web-браузеров, эксперты по безопасности и web-мастера. Для знакомства с возможностями технологии подготовлена специальная демонстрационная страница, на которой представлены 11 примеров атак, которым может противостоять CSP.

Спецификация CSP вводит в обиход новый HTTP-заголовок, при помощи которого web-мастер может явно задать какие из скриптов можно выполнять для заданного домена. Например, установка заголовка "X-Content-Security-Policy: allow 'self'" разрешит только выполнение локальных JavaScript файлов, заблокирует выполнение JavaScript блоков, определенных непосредственно в HTML документе и не позволит выполнить операцию на внешнем сайте через img src ссылку в URI которой фигурируют переменные (например, "img src=http://www.test.ru/cgi-bin/add.cgi?msg=123"). Или другой пример, разрешаем загрузку всех скриптов и изображений только из защищенной области сайта: "X-Content-Security-Policy: allow https://*:443".

CSP также позволяет определить список внешних ресурсов, используемых на текущей странице, чтобы отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src. Пример:

  X-Content-Security-Policy: allow 'self'; img-src *; \
                           object-src media1.com media2.com *.cdn.com; \
                           script-src trustedscripts.example.com

В заключение можно отметить, прогресс в развитии другой инициативы по увеличению безопасности пользователей Firefox - в дополнение к представленному недавно коду проверки необходимости выполнения обновления Flash плагина, представлена специальная страница Plugin Check, осуществляющая проверку всех установленных в браузере сторонних дополнений. В случае, если в установленных версиях дополнений имеется неисправленная узявимость, пользователю настойчиво предлагается установить более свежую версию.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/23723-fierfox

Ключевые слова: fierfox, mozilla, security, javascript, xss, csrf

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (29)

1.1, Трухин Юрий Владимирович (?), 12:46, 05/10/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–4 +/–
в IE8 давно есть

2.2, upyx (ok), 13:14, 05/10/2009 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–2 +/–
Ага. Есть. Сегодня один человек жаловался, что mail.ru криво открывается. Глянул код, а там г-на не то, что огород удобрить, на колхоз хватит. И все чудесно выполнялось и пыталось грузится. И загрузилось бы, кабы на шлюзе зарезано не было. В ФФ та же барада. Впрочем, майл.ру может и не использовать дополнительные заголовки, я не смотрел.

3.21, Трухин Юрий Владимирович (?), 19:26, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
а при чем тут в том что вы написали IE8 и FF

4.30, upyx (ok), 05:59, 07/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
>а при чем тут в том что вы написали IE8 и FF > При том, что все едино веб разработчики это не применяют, а зря.

2.3, Аноним (-), 13:48, 05/10/2009 [^] [^^] [^^^] [ответить] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+1 +/–

>в IE8 давно есть

Что там есть ? Как без определения web-мастером что можно блокировать, а что нет, разделить JavaScript вставку баннерной крутилки от JavaScript вставки злобного хакера ? Технически легальная от нелегальной вставки отличаются только именем домена.

3.22, Трухин Юрий Владимирович (?), 19:33, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
>>в IE8 давно есть > >Что там есть ? http://www.securitylab.ru/analytics/363593.php

2.16, аноним (?), 18:06, 05/10/2009 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Ничего подобного.

2.17, Аноним (-), 18:37, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–1 +/–
> в IE8 давно есть Вы б не завирались настолько? Или вам заплатили достаточно для того чтобы совесть отключилась совсем?

3.20, Анонизм (?), 19:03, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+1 +/–

>> в IE8 давно есть
>
>Вы б не завирались настолько? Или вам заплатили достаточно для того чтобы
>совесть отключилась совсем?

Вы б поинтересовались, прежде, чем хамили человеку.

http://www.securitylab.ru/news/384783.php

1.4, gegMOPO4 (ok), 14:01, 05/10/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–2 +/–
И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP?

2.6, Chris Archer (?), 14:28, 05/10/2009 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
для этого уже надо знать структуру движка веб-сайта ну и для статики это в принципе невозможно

3.26, gegMOPO4 (ok), 21:43, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Ну, структуру хакер всё равно должен представлять. А .htaccess — такая же статика.

2.7, Aleksey (??), 14:32, 05/10/2009 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+1 +/–
То же, что мешало вам прочесть про то, что такое XSS.

2.18, Аноним (-), 18:39, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+/–

>И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP?

Воткнуть свой код можно обойдя фильтры форума, блога, ... - любого сайта с user-generated контентом. А вот чтобы сменить заголовки сервера - надо тотально ломануть машину со всеми потрохами и поиметь права на правку конфига сервера. А это у нормальных людей - root.

Есть некоторая разница в сложности между инжектом барахла (допустим в коментах на форуме или там еще где) и поимением на машине полонценного рута, вы не находите?

3.27, gegMOPO4 (ok), 21:51, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Достаточно пользователя — владельца сайта. Конфиги и скрипты бывают и локальными. Но согласен — это прикроет вопиюще дырявые сайты, владельцы которых проявляют преступную доверчивость. Надеюсь, что браузер не будет это глотать молча, а отсветит огромным страшным предупреждением на треть экрана. Неотключаемым.

1.5, Аноним (-), 14:05, 05/10/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+1 +/–
>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Я ошибаюсь, или это + немножко ещё реализовано в noscript?

2.8, mityok (??), 14:42, 05/10/2009 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–1 +/–
>>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). > >Я ошибаюсь, или это + немножко ещё реализовано в noscript? вы глубоко ошибаетесь http://www.w3.org/TR/html401/interact/scripts.html#h-18.3.1

3.9, Аноним (-), 15:22, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	–1 +/–
noscript.net нэ?

4.13, mityok (??), 16:30, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+1 +/–
>noscript.net нэ? пардон, не подумал про плагин

2.10, Aleksey (??), 15:24, 05/10/2009 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+2 +/–
Топор безусловно помогает от насморка и множества других болезней.

2.14, zazik (ok), 16:38, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
>>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). > >Я ошибаюсь, или это + немножко ещё реализовано в noscript? Noscript всё-таки немного другое, хотя и близкое.

2.19, Аноним (-), 18:40, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

+/–

>Я ошибаюсь, или это + немножко ещё реализовано в noscript?

Идея похожая, реализация другая..

3.24, Аноним (-), 21:11, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
http://noscript.net/features#xss Какая чёрт разница, какая реализация? Разрешить/запретить на этой странице выбранные js.

4.25, Crazy Alex (??), 21:41, 05/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+1 +/–
Разница в том, что хозяин сайта точно знает, что он на этом сайте ставил, а остальное - левое. А noscript этого не знает - в результате приходится выключать все подряд и держать здоровенный список исключений. Если же этот стандарт распространится, для noscript останутся только ситуации, когда пользователь хочет получить сайт не таким, каким задумывали разработчики.

5.28, dry (ok), 12:10, 06/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
не такой уж и здоровенный. думаю в пределах 50 хостов у меня. набирается он очень непринужденно, даже с переносом не заморачиваюсь. проще заного сформировать по ходу дела.

1.12, Sergey (??), 15:58, 05/10/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
реализовано их AB как раз это оно

1.15, Tav (?), 17:35, 05/10/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Теперь можно будет делать корявые-дырявые сайты без последствий.

2.31, Gambler (ok), 20:30, 07/10/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Боюсь, что имеено этого разработчики и добиваются. Вместо налаживания настоящей безопасности веб девелоперы будут извращать сайты, чтобы обо всем позаботилась Мозилла.

1.29, cobain (??), 20:09, 06/10/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
бредовая идея резать контент и запросы.

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: