форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
Сообщение от opennews on 05-Окт-09, 12:46
Разработчики проекта Mozilla представили (http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-t.../) первый рабочий прототип Firefox (https://build.mozilla.org/tryserver-builds/bsterne@mozi.../) с реализацией технологии CSP (http://people.mozilla.org/~bsterne/content-security-policy/) (Content Security Policy), направленной на интеграцию в web-браузеры средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF,  XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). К работе по улучшению предварительной спецификации CSP (https://wiki.mozilla.org/Security/CSP/Spec) приглашаются производители других web-браузеров, эксперты по безопасности и web-мастера. Для знакомства с возможностями техноло... URL: http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-t.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=23723
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		–4 +/–
Сообщение от Трухин Юрий Владимирович on 05-Окт-09, 12:46
в IE8 давно есть
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		–2 +/–
	Сообщение от upyx (ok) on 05-Окт-09, 13:14
	Ага. Есть. Сегодня один человек жаловался, что mail.ru криво открывается. Глянул код, а там г-на не то, что огород удобрить, на колхоз хватит. И все чудесно выполнялось и пыталось грузится. И загрузилось бы, кабы на шлюзе зарезано не было. В ФФ та же барада. Впрочем, майл.ру может и не использовать дополнительные заголовки, я не смотрел.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
	Сообщение от Трухин Юрий Владимирович on 05-Окт-09, 19:26
	а при чем тут в том что вы написали IE8 и FF
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
	Сообщение от upyx (ok) on 07-Окт-09, 05:59
	>а при чем тут в том что вы написали IE8 и FF > При том, что все едино веб разработчики это не применяют, а зря.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+1 +/–
	Сообщение от Аноним (??) on 05-Окт-09, 13:48
	>в IE8 давно есть Что там есть ? Как без определения web-мастером что можно блокировать, а что нет, разделить JavaScript вставку баннерной крутилки от JavaScript вставки злобного хакера ? Технически легальная от нелегальной вставки отличаются только именем домена.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
	Сообщение от Трухин Юрий Владимирович on 05-Окт-09, 19:33
	>>в IE8 давно есть > >Что там есть ? http://www.securitylab.ru/analytics/363593.php
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
	Сообщение от аноним on 05-Окт-09, 18:06
	Ничего подобного.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		–1 +/–
	Сообщение от Аноним (??) on 05-Окт-09, 18:37
	> в IE8 давно есть Вы б не завирались настолько? Или вам заплатили достаточно для того чтобы совесть отключилась совсем?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+1 +/–
	Сообщение от Анонизм on 05-Окт-09, 19:03
	>> в IE8 давно есть > >Вы б не завирались настолько? Или вам заплатили достаточно для того чтобы >совесть отключилась совсем? Вы б поинтересовались, прежде, чем хамили человеку. http://www.securitylab.ru/news/384783.php
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Мёртвому припарки"		–2 +/–
Сообщение от gegMOPO4 (ok) on 05-Окт-09, 14:01
И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Мёртвому припарки"		+/–
	Сообщение от Chris Archer on 05-Окт-09, 14:28
	для этого уже надо знать структуру движка веб-сайта ну и для статики это в принципе невозможно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "Мёртвому припарки"		+/–
	Сообщение от gegMOPO4 (ok) on 05-Окт-09, 21:43
	Ну, структуру хакер всё равно должен представлять. А .htaccess — такая же статика.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Мёртвому припарки"		+1 +/–
	Сообщение от Aleksey (??) on 05-Окт-09, 14:32
	То же, что мешало вам прочесть про то, что такое XSS.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Мёртвому припарки"		+/–
	Сообщение от Аноним (??) on 05-Окт-09, 18:39
	>И что помешает злобному хакеру, изменившему код страницы, подменить и заголовки HTTP? Воткнуть свой код можно обойдя фильтры форума, блога, ... - любого сайта с user-generated контентом. А вот чтобы сменить заголовки сервера - надо тотально ломануть машину со всеми потрохами и поиметь права на правку конфига сервера. А это у нормальных людей - root. Есть некоторая разница в сложности между инжектом барахла (допустим в коментах на форуме или там еще где) и поимением на машине полонценного рута, вы не находите?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Мёртвому припарки"		+/–
	Сообщение от gegMOPO4 (ok) on 05-Окт-09, 21:51
	Достаточно пользователя — владельца сайта. Конфиги и скрипты бывают и локальными. Но согласен — это прикроет вопиюще дырявые сайты, владельцы которых проявляют преступную доверчивость. Надеюсь, что браузер не будет это глотать молча, а отсветит огромным страшным предупреждением на треть экрана. Неотключаемым.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+1 +/–
Сообщение от Аноним (??) on 05-Окт-09, 14:05
>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Я ошибаюсь, или это + немножко ещё реализовано в noscript?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		–1 +/–
	Сообщение от mityok (??) on 05-Окт-09, 14:42
	>>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). > >Я ошибаюсь, или это + немножко ещё реализовано в noscript? вы глубоко ошибаетесь http://www.w3.org/TR/html401/interact/scripts.html#h-18.3.1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		–1 +/–
	Сообщение от Аноним (??) on 05-Окт-09, 15:22
	noscript.net нэ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+1 +/–
	Сообщение от mityok (??) on 05-Окт-09, 16:30
	>noscript.net нэ? пардон, не подумал про плагин
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+2 +/–
	Сообщение от Aleksey (??) on 05-Окт-09, 15:24
	Топор безусловно помогает от насморка и множества других болезней.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
	Сообщение от zazik (ok) on 05-Окт-09, 16:38
	>>средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). > >Я ошибаюсь, или это + немножко ещё реализовано в noscript? Noscript всё-таки немного другое, хотя и близкое.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
	Сообщение от Аноним (??) on 05-Окт-09, 18:40
	>Я ошибаюсь, или это + немножко ещё реализовано в noscript? Идея похожая, реализация другая..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
	Сообщение от Аноним (??) on 05-Окт-09, 21:11
	http://noscript.net/features#xss Какая чёрт разница, какая реализация? Разрешить/запретить на этой странице выбранные js.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+1 +/–
	Сообщение от Crazy Alex (??) on 05-Окт-09, 21:41
	Разница в том, что хозяин сайта точно знает, что он на этом сайте ставил, а остальное - левое. А noscript этого не знает - в результате приходится выключать все подряд и держать здоровенный список исключений. Если же этот стандарт распространится, для noscript останутся только ситуации, когда пользователь хочет получить сайт не таким, каким задумывали разработчики.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
	Сообщение от dry (ok) on 06-Окт-09, 12:10
	не такой уж и здоровенный. думаю в пределах 50 хостов у меня. набирается он очень непринужденно, даже с переносом не заморачиваюсь. проще заного сформировать по ходу дела.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
Сообщение от Sergey (??) on 05-Окт-09, 15:58
реализовано их AB как раз это оно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
Сообщение от Tav on 05-Окт-09, 17:35
Теперь можно будет делать корявые-дырявые сайты без последствий.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
	Сообщение от Gambler (ok) on 07-Окт-09, 20:30
	Боюсь, что имеено этого разработчики и добиваются. Вместо налаживания настоящей безопасности веб девелоперы будут извращать сайты, чтобы обо всем позаботилась Мозилла.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Разработчики Mozilla выпустили прототип Firefox с защитой от..."		+/–
Сообщение от cobain (??) on 06-Окт-09, 20:09
бредовая идея резать контент и запросы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема