The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект Mozilla представил протокол Plug-n-Hack

25.08.2013 22:37

Разработчики из проекта Mozilla выступили с инициативой продвижения нового протокола Plug-n-Hack, нацеленного на предоставление средств для интеграции с браузером инструментов для исследования безопасности. Plug-n-Hack позволят упростить и унифицировать процесс подключения к различным браузерам компонентов, способных контролировать потоки обрабатываемой информации и тестировать безопасность, не требуя при этом написания специфичных для каждого браузера дополнений.

Например, для анализа HTTP/HTTPS-трафика применяются внешние инструменты, которые запускаются и настраиваются отдельно, но, как правило, используются бок о бок с браузером, что приводит к необходимости многократного переключения между утилитой и браузером. Plug-n-Hack позволяет интегрировать поддержку обращения к подобным инструментам непосредственно в браузер. Для организации потоков данных в Plug-n-Hack используются уже поддерживаемые механизмы, напоминающие организацию работы через прокси-сервер, вместо которого выступают инструменты для анализа безопасности.

Текущая реализация протокола позволяет приложениям сообщать браузеру о своих возможностях, которые могут вызываться из браузера, передавать настройки прокси, SSL-сертификат и список обрабатываемых команд. В дальнейшем, исследователь безопасности, подключивший инструмент через Plug-n-Hack, может обращаться к нему непосредственно из консоли для web-разработчика и сразу просматривать результат. Из планов на будущее также отмечается реализация средств для решения обратной задачи: браузер сможет декларировать список своих возможностей в рамках протокола Plug-n-Hack, что позволит задействовать браузер в качестве дополнения к внешнему приложению.

В настоящее время поддержка протокола Plug-n-Hack уже доступна для Firefox. Разработчики надеются, что производители других браузеров присоединятся к инициативе и добавят поддержку Plug-n-Hack в свои продукты. В инструментах для исследования безопасности достаточно будет реализовать поддержку Plug-n-Hack, чтобы полностью автоматизировать настройку интеграции инструмента с любым браузером, поддерживающего предложенный протокол. Среди инструментов для которых уже обеспечена поддержка Plug-n-Hack отмечается система всестороннего анализа веб-сайта на уязвимости OWASP Zed Attack Proxy.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, security, api, plug-n-hack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (39) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, lucentcode (ok), 23:11, 25/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересное начинание. Надеюсь, данный протокол добавят в Chromium. Удобно запускать нужные утилиты из браузера, а не переключаться по сто раз в консоль и обратно. Почему-то мне кажется, что таким образом будут подключать не только приложения для исследования безопасности, но и приложения для разработки и деплоя.
     
     
  • 2.4, Аноним (-), 01:01, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ага, ботмейкеры думается оценят.
     
     
  • 3.17, Xasd (ok), 12:35, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем ботам нужен браузер? :)
     
     
  • 4.23, cdecl (?), 16:37, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    как же зачем? откуда им еще в сеть выходить?
    ну и mitm выходит писать станет еще проще
     
     
  • 5.26, Xasd (ok), 16:48, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ну вот например -- Google выпустила библиотеку -- Gumbo (а до Gumbo -- была и ещё целая куча её аналогов :))..

    самое то для ботоводов :)

     
     
  • 6.39, arisu (ok), 12:50, 30/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > а до Gumbo — была и ещё целая куча её аналогов

    аналоги не покажешь, а, умник? хоть штучки три. чтобы на C и без дополнительных зависимостей? или ты как всегда вякнул ерунду?

     
  • 4.35, Аноним (-), 03:54, 27/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а зачем ботам нужен браузер? :)

    Ну вот например спамботы совсем не откажутся залогиниться через браузер и потом делать свое черное дело, да? :)

     

  • 1.2, Аноним (-), 23:48, 25/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    сокращенно - ПНХ (PnH). соотечественники оценят.
     
     
  • 2.12, Аноним (-), 08:29, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +11 +/
    какой интеллект - такие и шутки
     

  • 1.3, Crazy Alex (ok), 23:58, 25/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    ДА!!!! Плевать на собственно исследования безопасности - но из этого же получится нормальная интеграция браузера в систему. Давно пора.
     
     
  • 2.5, YetAnotherOnanym (ok), 01:33, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Спасибо, мы это уже проходили. (Или это был сарказм?)
     
     
  • 3.6, Crazy Alex (ok), 01:54, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Никакого сраказма. Сейчас браузер - это такая вешь в себе, с расширениями, которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке. Если можно будет стандартным образом вклиниваться в браузер извне - можно будет, скажем, алгоритмику кеширования ему сильно подкрутить - так, как сейчас бразуеры сделать не позволяют.
     
     
  • 4.8, Lain_13 (ok), 02:10, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А кто тебе мешает влезть в сорцы и подкрутить на своё усмотрение прямо сейчас?
     
     
  • 5.11, Crazy Alex (ok), 05:52, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Танунафиг, заглядывал я в те сорцы. Там довольно сложная архитектура, даже если б за деньги - довольно долго думал бы, соглашаться ли. Вебкит чуть приличнее, но сама область такая, что простого там быть не может, похоже.

    Ну и кроме того - одно дело - иметь стандартный инфтерфейс, и совсем другое - патчить каждую новую версию браузера.

     
  • 4.16, Аноним (-), 09:57, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск??? Или это был абстрактный конь в ваакуме?
     
     
  • 5.18, Xasd (ok), 12:37, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск???
    > Или это был абстрактный конь в ваакуме?

    это уж точно. вот что-что а кэш в браузерах работает как надо.

    кроме исследований безопасности и всяких разных обратных инженерингов -- врядли можно придумать другое полезное примерение для PnH.

     
     
  • 6.20, Аноним (-), 14:49, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Зачем там крутить алгоритмику кеширования если вся суть кеширования сохранить на диск???

    Тю?

    >> Или это был абстрактный конь в ваакуме?
    > это уж точно. вот что-что а кэш в браузерах работает как надо.

    Тю?


     
  • 6.24, Crazy Alex (ok), 16:43, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Поправка - оно работает как надо если используется  в ожидаемых условиях. ЧТо обычно означает - при постоянно доступном интернете.

    Если же у нас что-то нестабильное - GPRS, или в поезде свзяь то появляется, то исчезает - то хотелось бы СОВСЕМ другое поведение - в зависимости от сайта, конечно. В частности - никаких "If Modified" на статику, при превышении како-то таймаута - отдача вместо графики плейсхолдеров, а в некоторых случаях, по запросу - полного кеширования страницы вне зависимости от заголовков, мета-тегов и прочего.

    А применения можно придумать наверняка, но там надо копать, что еще они сделают доступным для инструмента. Пока виден только альтренативнй механизм проксирования, не меашющий тому, что может быть в браузере и не конфоиктующий с чем-то вроде FoxyProxy, ну и плюс возможность выкинуть дублирующее хранилище сертификатов из браузера и пользоваться только системным - лично у меня в этом плане к маинтайнерам Debian доверие несколько побольше, чем к мозилловцам, скажем.

     
     
  • 7.27, Xasd (ok), 16:51, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > В частности - никаких "If Modified" на статику..

    надеюсь ты осознаёшь -- что ты хочешь взять данные из кэша -- [b]через нарушение протокола HTTP[/b]?! (и в целом через нарушение WWW-принципов)

    если браузер не посылает -- If Modified -- то как тогда браузер узнает о том что было ВНЕЗАПНОЕ изменение статических данных?

    вообще-то для твоей цели -- есть раздел стандарта под названием -- "Offline Web Applications" .. и в данном случае в качестве этих "Offline Web Applications" очень походят: форумы, новостные сайты, блоги, www-клиенты электронной почты, и т д...

    ...осталось только уговорить создателей стайтов использовать эту спецификацию. :-)

    надеюсь ты уже написал письмо на электронную почту хозяевам сайтов, а иначем как они тогда узнают о том что тебе нужно "Offline Web Applications"? :)

     
     
  • 8.31, Crazy Alex (ok), 19:19, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно осознаю Больше того - и чем чревато в в курсе, как давний пользователь ... текст свёрнут, показать
     
     
  • 9.41, arisu (ok), 12:53, 30/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    вообще-то это решается простым самопальным проксиком проксь 171 для себя 187... текст свёрнут, показать
     
  • 6.25, Crazy Alex (ok), 16:45, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Другими словами - видели как кеширование в какой-нибудь Опере 6 было? Когда страница из сети обновлялась только явному запросу, а так - ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети - вот такое на файрфоксе не сделать сейчас без вмешательства в код.
     
     
  • 7.28, Xasd (ok), 16:58, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > ни закрытие/открытие заново, ни "back" не вызывали НИ ОДНОГО обращения к сети

    и даже XMLHttpRequest производился без обращения к сети?? :-)


     
     
  • 8.29, бедный буратино (ok), 17:04, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В шестой опере ... текст свёрнут, показать
     
     
  • 9.30, Xasd (ok), 19:09, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    - ... текст свёрнут, показать
     
  • 4.22, Аноним (-), 16:32, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > с расширениями, которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке

    ещё один дурак не нашёл времени вникнуть в NPAPI, зато нашёл время брякнуть чушь в комментах

     
     
  • 5.32, Crazy Alex (ok), 19:23, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Дурак - это тот, кто не понимает разницу между ПЛАГИНОМ, который управляет браузер, и ИНТЕРФЕЙСОМ, взаимодействием с которым управляет внешняя система.
     
  • 4.40, arisu (ok), 12:51, 30/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Никакого сраказма. Сейчас браузер - это такая вешь в себе, с расширениями,
    > которые зачем-то надо писать на одном-единственном (и довольно мерзком) языке.

    а вот если в браузер наконец интегрируют ядро ОС и графическую подсистему — будет ДА!

     

  • 1.7, Аноним (-), 01:57, 26/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Хоть кто-то об удобстве хакеров беспокоится.
     
  • 1.13, Аноним же (?), 08:49, 26/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ага, заодно дыры расширят похоже)))
     
     
  • 2.15, Онамин (?), 09:13, 26/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, заодно дыры расшарят похоже)))

    //fixed

     

  • 1.14, Аноним (14), 09:12, 26/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    круто
     
  • 1.33, Аноним (-), 23:53, 26/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Теперь нажимая "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" юзвери смогут устанавливать не только кучу тулбаров, нестандартных неудаляемых поисковиков и целых браузеров, а и сниферы и пр. штучки.
     
     
  • 2.34, Crazy Alex (ok), 03:15, 27/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Туда и дорога. В Нормальных Системах этой мути просто нет.
     
     
  • 3.36, oWeRQ (ok), 13:21, 27/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Что за "Нормальные Системы" без снифферов и сканеров безопасности?
     
     
  • 4.38, Crazy Alex (ok), 19:07, 27/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить" - в линуксе их, знаете ли, как-то не завезли.
     
     
  • 5.42, tessel (?), 15:35, 03/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Имелись в виду кнопочки "далее-далее-я согласен с условиями соглашения-далее-далее-далее-установить-закончить"
    > - в линуксе их, знаете ли, как-то не завезли.

    Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы. Вы просто не понимаете пока, как тонко на этом вас можно поиметь.

     
     
  • 6.43, arisu (ok), 16:10, 03/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Глупый взбрык. apt-get install на самом деле даже опаснее, нежели виндовые инсталляторы.
    > Вы просто не понимаете пока, как тонко на этом вас можно
    > поиметь.

    ну так открой же нам глаза! естественно, с PoC'ом, потому что рассказы по типу «а вот если у маинтайнера украдут все ключи…» должны сопровождаться или этими самыми ключами, или скомпрометированными пакетами в репозиториях. и все другие страшилки тоже.

     
  • 3.37, Аноним (-), 15:41, 27/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Туда и дорога. В Нормальных Системах этой мути просто нет.

    Windows 8?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру