Опрос
Ждете ли вы выхода привычных ноутбуков на новой Windows 10X?

IE8 призван прикрыть гигантскую уязвимость всемирной паутины

Напечатать страницу
26.08.2008 11:06 | deeper2k

Инженеры Microsoft обещают с помощью Internet Explorer 8 избавить Интернета от серьезнейшей проблемы: атак, позволяющих красть пароли к электронной почте, банковским счетам и другую частную информацию путем инъекции вредоносного кода в тела доверенных веб-сайтов.

Некоторые из известнейших в Интернете имен, включая Google, Yahoo и MySpace, неоднократно становились невольными участниками так называемых кросс-сайтовых скиптовых атак (от англ. cross-site scripting или просто XSS). Десятки тысяч других сайтов, принадлежащих различным банкам и страховым организациям, также оказались уязвимы к подобному классу атак. В течение последних лет у пользователей Firefox был весьма полезный для борьбы с атаками (но не идеальный) плагин NoScript, а вот у пользователей все еще самого популярного в мире браузера такой защиты не было.

С выходом IE8 ситуация должна в корне измениться. В прошлом месяце Microsoft сообщила о своем намерении включить в состав нового браузера XSS-фильтр, а в начале прошлой недели Microsoft внесла некоторые уточнения.

В частности инженеры Microsoft планируют уделить особое внимание тестированию на предмет ложных срабатываний и влияния XSS-фильтра на общую производительность просмотра веб-страниц. Больше не будет непонятных кодов ошибок и лишних диалоговых окон, которые частенько блокировали доверенные сайты и открывали новые возможности для атак.

"Очень непросто ограничивать XSS в целях сохранения баланса совместимости, безопасности и производительности" - говорит Дэвид Росс (David Ross), сотрудник команды Microsoft Security Vulnerability Research & Defense. Во избежание проблем с производительностью фильтр работает лишь на тех страницах, на которых выполняются скрипты, поэтому такие объекты, как изображения, попросту игнорируются. Фильтр также дает зеленый свет коду, который происходит с посещаемого в данный момент сайта. Фильтр можно отключить для определенных зон на базе политик безопасности.

Когда фильтр обнаруживает скрипт, находящийся на другом сайте, эвристический механизм инспектирует URL и POST-информацию с запрошенной страницы на наличие частоиспользуемых выражений. Фильтр сканирует URL на наличие подозрительных символов, таких как скриптовые тэги. При обнаружении подобных символов фильтр проверяет HTTP-код и генерирует сигнатуру. Затем сигнатуры сравниваются с HTTP-ответом, поэтому скрипты, признанные вредоносными, будут нейтрализованы. А вместо запуска вредоносного кода IE выведет на экран сообщение о том, что страница была модифицирована с целью предотвращения XSS-атаки.

Конкурирующие секьюрити-исследователи критикуют подобный подход. Джорджио Маоне (Giorgio Maone), создатель NoScript, говорит, что фильтр, скорее всего, будет пропускать многие атаки из-за наличия требования по проверке HTTP-запросов на соответствие. Атаки, использующие чистый JavaScript, или те, которые возвращают ответы частично, могут быть пропущены фильтром.

"Если вы реализуете функцию обеспечения безопасности, для которой известны варианты обхода, это еще большая угроза безопасности, чем обычные сетевые атаки" - заявил он нашему изданию.

Возможно. Но фильтр имеет и сторонников, среди которых Дейв Айтель (Dave Aitel), технический директор компании Immunity Security. Поскольку IE сравнивает веб-запрос с возвращенной страницей, фильтр с большой долей уверенности констатировать факт атаки. "Такой подход довольно-таки агрессивен по сравнению с другими способами защиты, зато и более действенен" - считает он.


Источник: http://www.theregister.co.uk
Перевод: deeper2k

Комментарии

Не в сети

кто бы сомневался что имя гигантской уязвимости всемирной паутины - IE6

26.08.08 15:06
0
Не в сети

угу, дырка на дырке = уязвимость интернета... мутит мс что-то, мутит... <_<

26.08.08 15:41
0
Не в сети

поставил на FF no-script, проверим что за зверь

26.08.08 16:55
0
Не в сети

смешно

26.08.08 21:54
0
Не в сети

MS уже давно жжот не по-детски... Недавно пересел на лису, теперь не слезаю.

26.08.08 22:30
0
Не в сети

Практика показывает, что все еще есть сайты которые норм открываются только на IE.

27.08.08 01:44
0
Не в сети

>> Unlime

Outlook Web Access разве что

27.08.08 11:02
0
unihorn -164
Не в сети

>>Unlime>
>>Практика показывает, что все еще есть сайты которые норм открываются только на IE.
>Braun >
>Outlook Web Access разве что

Некоректно открывающиеся в Лисе сайты:

http://www.litportal.ru/all/ (попробуйте выбрать "букву в алфавите", а потом поработать с "номерами страниц").

Ну или, как вам это нравится (лично, в Мозилу, об ошибке сообщал, но, пока, не слуху, не духу): http://www.energia.ru/rus/news/news.html ?

И это лишь, капля в море таких сайтов (о сайтах с просто "терпимо поехавшим оформлением", я уже не говорю).

Не помню как там, в Лисе установленной под виндой, о под Линуксовской, кривизна на кривизне...

Посему про "только Outlook Web Access" не надо...

30.08.08 09:45
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
207.26 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.144 секунд (Общее время SQL: 0.082 секунд - SQL запросов: 61 - Среднее время SQL: 0.00134 секунд))
Top.Mail.Ru