Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Mozilla demózta a Content Security Policy-t

2009.10.03. 15:14 | buherator | Szólj hozzá!

A Firefox előzetes build-jeiben már kipróbálható a Content Security Policy-nek nevezett, elsősorban Cross-Site Scripting támadások megakadályozására szolgáló technológia. A CSP-t támogató böngészőknek egy speciális fejléc (X-Content-Security-Policy) segítségével megadható, hogy mely hosztokról származó szkriptek futhatnak le egy-egy megnyitott weboldalon. 

Ha a szabályozás elterjedne a vezető böngészők körében, az jelentősen visszavethetné a manapság igen gyakori drive-by exploitok hatékonyságát, hiszen ezeket általában a fertőző oldal egy külső helyről futtatja.

Megjegyzendő ugyanakkor, hogy egyrészt a barátságosnak feltételezett oldalakba juttatott önálló kódokkal szemben a módszer nem hatásos, másrészt a weboldalakat karbantartó rendszergazdáknak és programozóknak is oda kell figyelniük az új fejléc alkalmazására. 

Címkék: firefox mozilla content security policy

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.