Научитесь защищаться от XS-Leaks


Разработчики Google создали новую вики-страницу, которая знакомит разработчиков системы безопасности с межсайтовыми утечками.

XS

Объявляя о запуске новой вики XS-Leaks в блоге Google Security, инженеры по информационной безопасности, Артур Янк и Терянк, комментируют:

Все чаще проблемы безопасности, обнаруживаемые в современных веб-приложениях, зависят от неправильного использования давнего поведения веб-платформы, что позволяет сомнительным сайтам раскрывать информацию о пользователе или их данных в других веб-приложениях. Этот класс проблем, широко называемый межсайтовыми утечками (XS-Leaks), создает интересные проблемы для инженеров безопасности и разработчиков веб-браузеров из-за разнообразия атак и сложности построения комплексной защиты.

Сама вики сообщает нам, что:

Межсайтовые утечки (также известные как XS-Leaks, XSLeaks) – это класс уязвимостей, производных от побочных каналов, встроенных в веб-платформу. Они пользуются преимуществом основного принципа веб-компоновки, который позволяет веб-сайтам взаимодействовать друг с другом, и злоупотребляют законными механизмами для получения информации о пользователе.

Цель вики – разъяснить принципы, лежащие в основе межсайтовых утечек, обсудить распространенные атаки и предложить механизмы защиты, направленные на смягчение этих атак.

Это открытая база знаний, и она требует комментариев от сообщества, чтобы постоянно обновлять и обогащать ее содержание. Добавление может происходить с помощью запросов на вытягивание, прямого редактирования и открытия проблем с Github.

замок на заборе

Что касается самого материала, то есть две основные категории: Атака и Защита. Создатели вики рекомендуют вам сначала понять, как совершаются атаки, а затем научиться защищаться от них. Ведь если хочешь мира, учи войну…

Что касается XS-Leaks, мы находим информацию о:

  • XS-поиск
  • postMessage Broadcasts
  • Подсчет кадров
  • События ошибок и т.д.

Что касается защитных мер, мы находим информацию о:

  • Блокировка чтения из разных источников
  • Политика строгой изоляции
  • Обрамление ограждений,
  • Файлы cookie SameSite
  • Политика кросс-происхождения-открывателя
  • Защита кеша и т.д.

Сказав это, это не средняя информация по XSS. Информация здесь является специализированной и в основном предназначена для разработчиков безопасности. С другой стороны, если вы «простой» разработчик, которому необходимо понимать XSS в терминах непрофессионала, то лучше выбрать один из ресурсов, которые я описал в прошлом ih:


Добавить комментарий