reklama

Strefa IBM System x

"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

popularne

Najczęściej czytane

Ukryta wiadomość w logo jednostki do walki z cyberterroryzmem (czytane 5185 razy)
Nowe narzędzia do łamania GSM (czytane 3608 razy)
CRASH - system odpornościowy dla sieci (czytane 3560 razy)
Jeden z deweloperów włamał się do App Store i iTunes (czytane 3508 razy)
Przynęty na hakerów (czytane 3308 razy)

więcej...

Biblioteka Wiedzy poleca

Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI

Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »

Raport o internetowych zagrożeniach bezpieczeństwa

"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »

Implementing IBM Systems Director 6.1

Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst

AKTUALNOŚCI

Firefox 3.6: żegnajcie ataki ?

7 października 2009

Paweł Krawczyk

Ataki Cross-Site Scripting i im podobne od dawna nie schodzą z pierwszych miejsc rankingów najczęściej wykorzystywanych podatności przeglądarek do szkodzenia użytkownikom sieci. Czy technologia Content Security Policy - obsługiwana przez Firefox 3.6 - stanie się rozwiązaniem tych problemów.

Koncepcja CSP jest prosta - jeśli od dawna potrafimy definiować polityki dostępu do zasobów sieciowych (egzekwowane przy pomocy systemu operacyjnego lub zapór sieciowych) to dlaczego nie robić tego samego w odniesieniu do stron WWW? Chodzi tutaj o nakreślenie prostych zasad, mówiących przeglądarce użytkownika jakie elementy danej strony może wykonywać, a jakie nie.

Efektem końcowym jest sytuacja, w której przeglądarka załaduje i wykona obrazki, pliki SWF i programy JavaScript umieszczone na stronie naszej firmy oraz naszego partnera udostępniającego reklamy, ale zablokuje pobranie tych elementów ze skompromitowanego serwera gdzieś w Chinach czy Rosji, jeśli akurat komuś udało się przemycić je do kodu naszej strony w rezultacie udanego ataku Cross-Site Scripting.

Jak to działa?

Zasady tego co wolno a czego nie wolno ładować z danej strony określane są przez politykę przekazywaną przeglądarce klienta w nagłówku HTTP. Jest to istotna różnica w stosunku do np. polityk przekazywanych w kodzie HTML, który może być zmieniany przez programy JavaScript. Przeniesienie definicji polityki na poziom HTTP stanowi dodatkowe utrudnienie dla osób, które chciały by tę politykę w sposób nieautoryzowany zmienić (jako podobne rozwiązanie stosowane wcześniej można wymienić np. nagłowek P3P używany do przekazywania polityki prywatności strony).

Przykładowa odpowiedź serwera zawierająca najprostszą z możliwych definicję CSP wygląda następująco (nagłowek X-Content-Security-Policy):

HTTP/1.x 200 OK
Date: Wed, 07 Oct 2009 07:58:14 GMT
Server: Apache/2.2.3 (Red Hat)
X-Powered-By: PHP/5.1.6
X-Content-Security-Policy: allow 'self'
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Proxy-Connection: Keep-Alive
Connection: Keep-Alive
Age: 0

W przedstawionym przykładzie jednolinijkowa definicja w nagłówku X-Content-Security-Policy określa politykę równoważną z "zasadą identycznego pochodzenia" (same origin policy), czyli dopuszcza ładowanie wszystkiego co pochodzi z tej samej domeny co właśnie udostępniona strona.

Bardziej rozbudowane polityki mogą być przechowywane w zewnętrznych plikach, których lokalizacja jest wskazana z nagłówka X-Content-Security-Policy dyrektyrą policy-uri. Plik taki musi być ładowany z tej samej domeny co oryginalna strona i musi być zwracany z typem MIME "text/x-content-security-policy".

12 3 dalej »

Wystaw ocenę:

Średnia ocena (liczba głosów: 1)

wydrukuj

wyślij do znajomego

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

dodaj komentarz |

Ta wiadomość nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...

Regulamin i polityka prywatności
Kontakt