reklama
popularne
Najczęściej czytane
- Ukryta wiadomość w logo jednostki do walki z cyberterroryzmem (czytane 5185 razy)
- Nowe narzędzia do łamania GSM (czytane 3608 razy)
- CRASH - system odpornościowy dla sieci (czytane 3560 razy)
- Jeden z deweloperów włamał się do App Store i iTunes (czytane 3508 razy)
- Przynęty na hakerów (czytane 3308 razy)
Biblioteka Wiedzy poleca
Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI
Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »
Raport o internetowych zagrożeniach bezpieczeństwa
"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »
Implementing IBM Systems Director 6.1
Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »
Firefox 3.6: żegnajcie ataki ?
7 października 2009
Paweł Krawczyk Ataki Cross-Site Scripting i im podobne od dawna nie schodzą z pierwszych miejsc rankingów najczęściej wykorzystywanych podatności przeglądarek do szkodzenia użytkownikom sieci. Czy technologia Content Security Policy - obsługiwana przez Firefox 3.6 - stanie się rozwiązaniem tych problemów.Efektem końcowym jest sytuacja, w której przeglądarka załaduje i wykona obrazki, pliki SWF i programy JavaScript umieszczone na stronie naszej firmy oraz naszego partnera udostępniającego reklamy, ale zablokuje pobranie tych elementów ze skompromitowanego serwera gdzieś w Chinach czy Rosji, jeśli akurat komuś udało się przemycić je do kodu naszej strony w rezultacie udanego ataku Cross-Site Scripting.
Jak to działa?
Zasady tego co wolno a czego nie wolno ładować z danej strony określane są przez politykę przekazywaną przeglądarce klienta w nagłówku HTTP. Jest to istotna różnica w stosunku do np. polityk przekazywanych w kodzie HTML, który może być zmieniany przez programy JavaScript. Przeniesienie definicji polityki na poziom HTTP stanowi dodatkowe utrudnienie dla osób, które chciały by tę politykę w sposób nieautoryzowany zmienić (jako podobne rozwiązanie stosowane wcześniej można wymienić np. nagłowek P3P używany do przekazywania polityki prywatności strony).
Przykładowa odpowiedź serwera zawierająca najprostszą z możliwych definicję CSP wygląda następująco (nagłowek X-Content-Security-Policy):
HTTP/1.x 200 OK
Date: Wed, 07 Oct 2009 07:58:14 GMT
Server: Apache/2.2.3 (Red Hat)
X-Powered-By: PHP/5.1.6
X-Content-Security-Policy: allow 'self'
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Proxy-Connection: Keep-Alive
Connection: Keep-Alive
Age: 0
W przedstawionym przykładzie jednolinijkowa definicja w nagłówku X-Content-Security-Policy określa politykę równoważną z "zasadą identycznego pochodzenia" (same origin policy), czyli dopuszcza ładowanie wszystkiego co pochodzi z tej samej domeny co właśnie udostępniona strona.
Bardziej rozbudowane polityki mogą być przechowywane w zewnętrznych plikach, których lokalizacja jest wskazana z nagłówka X-Content-Security-Policy dyrektyrą policy-uri. Plik taki musi być ładowany z tej samej domeny co oryginalna strona i musi być zwracany z typem MIME "text/x-content-security-policy".
Komentarze
Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
Ta wiadomość nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2010 IDG Poland SA




"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.




wydrukuj
