Podziel się opinią o serwisie


reklama

 IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

Biblioteka Wiedzy poleca

Nowa, inteligentna moc w serwerach

Nowe serwerowe procesory Intel oferują wiekszą szybkość, wydajność i inteligencje, adaptują się do potrzeb energetycznych
pobierz »

ERP dla średniej firmy: Od czego zacząć?

Wybór systemu ERP to jedna z najważniejszych decyzji podejmowanych przez przedsiębiorstwo. Dlatego powinny ją poprzedzić rzetelne przygotowania....
pobierz »

WatchGuard SSL 100: zdalny dostęp efektywnie i niedrogo

Szeroka gama aplikacji biznesowych isystemów, atakże coraz większe zróżnicowanie w lokalizacji i urządzeniach z których korzystają firmy spowodowała...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Firefox 3.6: żegnajcie ataki ?

7 października 2009

Paweł Krawczyk
Ataki Cross-Site Scripting i im podobne od dawna nie schodzą z pierwszych miejsc rankingów najczęściej wykorzystywanych podatności przeglądarek do szkodzenia użytkownikom sieci. Czy technologia Content Security Policy - obsługiwana przez Firefox 3.6 - stanie się rozwiązaniem tych problemów.

Koncepcja CSP jest prosta - jeśli od dawna potrafimy definiować polityki dostępu do zasobów sieciowych (egzekwowane przy pomocy systemu operacyjnego lub zapór sieciowych) to dlaczego nie robić tego samego w odniesieniu do stron WWW? Chodzi tutaj o nakreślenie prostych zasad, mówiących przeglądarce użytkownika jakie elementy danej strony może wykonywać, a jakie nie.

Efektem końcowym jest sytuacja, w której przeglądarka załaduje i wykona obrazki, pliki SWF i programy JavaScript umieszczone na stronie naszej firmy oraz naszego partnera udostępniającego reklamy, ale zablokuje pobranie tych elementów ze skompromitowanego serwera gdzieś w Chinach czy Rosji, jeśli akurat komuś udało się przemycić je do kodu naszej strony w rezultacie udanego ataku Cross-Site Scripting.

Jak to działa?

Zasady tego co wolno a czego nie wolno ładować z danej strony określane są przez politykę przekazywaną przeglądarce klienta w nagłówku HTTP. Jest to istotna różnica w stosunku do np. polityk przekazywanych w kodzie HTML, który może być zmieniany przez programy JavaScript. Przeniesienie definicji polityki na poziom HTTP stanowi dodatkowe utrudnienie dla osób, które chciały by tę politykę w sposób nieautoryzowany zmienić (jako podobne rozwiązanie stosowane wcześniej można wymienić np. nagłowek P3P używany do przekazywania polityki prywatności strony).

Przykładowa odpowiedź serwera zawierająca najprostszą z możliwych definicję CSP wygląda następująco (nagłowek X-Content-Security-Policy):

HTTP/1.x 200 OK
Date: Wed, 07 Oct 2009 07:58:14 GMT
Server: Apache/2.2.3 (Red Hat)
X-Powered-By: PHP/5.1.6
X-Content-Security-Policy: allow 'self'
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Proxy-Connection: Keep-Alive
Connection: Keep-Alive
Age: 0

W przedstawionym przykładzie jednolinijkowa definicja w nagłówku X-Content-Security-Policy określa politykę równoważną z "zasadą identycznego pochodzenia" (same origin policy), czyli dopuszcza ładowanie wszystkiego co pochodzi z tej samej domeny co właśnie udostępniona strona.

Bardziej rozbudowane polityki mogą być przechowywane w zewnętrznych plikach, których lokalizacja jest wskazana z nagłówka X-Content-Security-Policy dyrektyrą policy-uri. Plik taki musi być ładowany z tej samej domeny co oryginalna strona i musi być zwracany z typem MIME "text/x-content-security-policy".


Wystaw ocenę:
   Średnia ocena (liczba głosów: 1)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Ta wiadomość nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...