Опрос
Ждете ли вы выхода привычных ноутбуков на новой Windows 10X?

Потенциально опасные каналы в Internet Explorer 7 и Windows RSS

Напечатать страницу
13.08.2006 02:37 | lexa

Мы подумали, что будет хорошо для RSS и пользователей, чтобы потенциально опасные скрипты в канале новостей были бы отмечены и, чтобы можно было прежде обратиться к разработчикам приложений, чтобы те, в свою очередь, могли предотвратить любые атаки на пользователя...

В IE7 и в Windows RSS Platform мы осуществили несколько изменений, которые обращены, в первую очередь, к потенциально опасным скриптам в канале новостей:

Санитарная обработка
При загрузке новостей RSS Platform проводит канал новостей через санитарную обработку, которая, между прочим, удаляет скрипт из области HTML. Кроме того, области текста, типа элементов заголовка, рассматриваются как текст, а не как HTML. Санитарная обработка будет происходить перед тем, как содержание новостей передастся какому-либо приложению, например просмоторщику новостей IE7. Далее, содержание новостей будет сохранено в резерве новостей и приложение получит доступ к закачанным новостям.

Просмотр новостей в Ограниченной Зоне
Просмоторщик новостей IE7 отображает новости в Ограниченной зоне безопасности, не зависимо от того, откуда произошла загрузка новостей, даже если новости были закачаны с сайта, входящего в зону доверия. По умолчанию скрипт отключен в Ограниченной зоне. Кроме того, Просмоторщик Новостей отвергает все действия URL, содержащих скрипты или активный контент.

Мы спроектировали RSS функции, используя принципы Secure Development Lifecycle. Один из принципов – тщательная защита. Т.е. идея состоит в том, что если скрипт даже и попытается проникнуть через защиту, то его действия будут ограничены или полностью остановлены.

Поддержка IE в приложениях
Второе изменение может представлять интерес для разработчиков приложений, которые поддерживают MSHTML в своих приложениях. Когда используется MSHTML для отсылки новостей, мы рекомендуем чтобы приложение поддерживало менеджер защиты клиента, который осуществляет управление доступом к URL. Для уменьшения потенциальной возможности нападения, желательно ограничить доступ к большому числу URL.

Источник: http://blogs.msdn.com/rssteam/
Перевод: lexa

Комментарии

Комментариев нет...
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
206.34 -0.13
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.047 секунд (Общее время SQL: 0.018 секунд - SQL запросов: 45 - Среднее время SQL: 0.0004 секунд))
Top.Mail.Ru