Найкращі покращення безпеки в 2009

19:15 15.01.2010

В своєму листі до розсилки Best security improvements of 2009? Andy Steingruebl підняв цікаву тему. Які відбулися покращення безпеки в 2009 році?

Він навів наступні покращення, що з’явилися в минулому році:

  • IE8 removed CSS expressions support.
  • Rails now does output escaping by default.
  • The new STS header.
  • Firefox checks for updates to plugins.
  • Mozilla Content Security Policy (CSP).
  • Microsoft IE8 X-Frame-Options anti-framing header.

Дані покращення - це звичайно добре. Але стосовно покращень в IE8 в мене є ряд зауважень.

Те, що в IE8 нарешті прибрали підтримку expression(), це дозволить захистити користувачів браузера від XSS атак через expression(), а також від DoS атак (що були можливі в IE7 та попередніх версіях). Але стосовно даного захисту від XSS атак, то я тут бачу не тільки позитивні, але й негативні наслідки (тому що XSS дірки на сайтах потрібно виправляти на сайтах, а не в браузерах). І я розробив власну методику XSS атак, що дозволяє проводити XSS атаки в різних браузерах (в тому числі IE8), що може бути використана замість старих атак з expression(), про що я напишу окрему статтю.

А от заголовок X-Frame-Options в IE8 лише частково вирішує проблему. І методика атак через CSS, що я описав в статті MouseOverJacking атаки, дозволяє обходити даний захист в IE8 та може застосовуватися для проведення Clickjacking та MouseOverJacking атак в різних браузерах.

Зі своєї сторони додам наступні (еволюційні) покращення безпеки за 2009 рік:

  • Випуск нових версій Mozilla Firefox, Internet Explorer, Opera, Chrome та інших браузерів з виправленням уразливостей. За рік безпека браузерів покращилася, але все ще є багато дірок, що потрібно виправляти, і весь час з’являються нові.
  • Випуск нових версій Perl (в тому числі mod_perl) з виправленням уразливостей.
  • Випуск нових версій PHP 5.x з виправленням уразливостей (окрім випуску версій PHP від 5.2.8 до 5.2.12, також вийшли PHP 5.3 та PHP 5.3.1).
  • Випуск нових версій Python, Ruby та інших інтерпретаторів з виправленням уразливостей.
  • Випуск нових версій Apache, IIS та інших веб серверів з виправленням уразливостей.

Не кажучи про виправлення дірок, які робили на протязі року власники сайтів та веб девелопери (це відбується постійно). А також виправлення у різних плагінах до браузерів (Flash та інших) та в десктоп версіях даних додатків. У списку лише найбільш глобальні покращення безпеки.


Leave a Reply

You must be logged in to post a comment.