Декларуючи безпека

Нещодавно маса людей почали питати мене, що я думаю про чернетці специфікацій Content Security Policy від Mozilla Foundation. Тоді в січні я зарахував себе до лав прихильників даної ідеї. CSP є механізмом декларування безпеки, коли сайт повідомляє про свої наміри, і дозволяє користувацькому агенту (з англ. user-agent) їх обробляти.

У механізмі декларування безпеки є безліч переваг:


У Internet Explorer в цій області дуже хороша історія: HTTPOnly, фрейми Security = RESTRICTED, X-Content-Type-Options, X-Download-Options, X-Frame-Options – всі ці функції є декларативними фукнції безопаности, вперше реалізованими в IE і тепер підтримувані іншими браузерами на різному рівні.

Ідеї, що лежать в основі чернетки CSP, не нові і є всього лише одним з пропонованих варіантів декларативної безпеки, починаючи від BEEP до пісочниці HTML 5. У деяких областях CSP перетинається з іншими механізмами з обмеження скриптів, хоча якщо даний механізм буде успішним, швидше за все, нові директиви будуть створюватися, щоб надавати уніфіковані специфікації доступних політик.

Незважаючи на всю свою цінність, механізми декларативної безпеки також мають і свої мінуси:


Ні одна з технологій безпеки не є панацеєю і для повноцінного захисту, як я думаю, браузери повинні пропонувати обидва механізми: потужні API безпеки для запобігання XSS-атак і автоматизовану захист, яка зможе захищати сайти, веб-майстер яких не можуть або не хочуть оновлювати код свого сайту.

Для боротьби з XSS-атак в IE8 ми реалізували кілька способів скорочення поверхні для атаки, кілька нових API, а також новий механізм декларативної безпеки (X-* заголовки), про який ми говорили вище. Але ми розуміли, що сайти не відразу перейдуть на ці нові API і функції декларативної безпеки, тому ми вбудували в браузер XSS-фільтр, включений за замовчуванням, але не задає ніяких питань і не вимагає внесення якихось змін в код. Це забезпечує захист від найбільш поширених XSS-атак.

Я радий бачити прогрес в області CSP, який, на мою думку, зможе допомогти сайтам захиститися від безперервно збільшує числа загроз.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*