Firefox 3 защитит пользователей от CSS/XSS-атак

image

Теги: Firefo

В новой альфа-версии браузера Firefox 3 Alpha 7 появилась поддержка черновой спецификации W3C по межсайтовым XML-запросам через HTTP (XHR), определяющая способ выполнения на веб-странице сценариев сторонних сайтов для технологии Web 2.0.

В новой альфа-версии браузера Firefox 3 Alpha 7 появилась поддержка черновой спецификации W3C по межсайтовым XML-запросам через HTTP (XHR), определяющая способ выполнения на веб-странице сценариев сторонних сайтов для технологии Web 2.0. Вместе с этим, атакам межсайтового выполнения сценариев (CSS/XSS) будет положен конец, утверждают разработчики браузера.

Спецификация «Разрешение веб-ресурсам доступа на чтение» позволяет автору страницы определить круг сайтов, сценарии с которых будут выполняться на ней. Определение будет указываться либо в HTTP-заголовке, либо специальной командой XML. Такая реализация межсайтового доступа позволит исключить атаки CSS/XSS. Ответственность за раскрытие информации, такой как куки и данные заголовка, будет возлагаться на разработчиков браузеров. Авторы страниц, как говорится в спецификации, также не должны считать сторонние источники доверенными и проверять контент перед тем, как разрешать его выполнение.

Атаки межсайтового выполнения сценариев, или межсайтового скриптинга (CSS/XSS), возникают в результате ошибок проверки параметров, передаваемых пользователем в запросе к сайту, перед тем как вывести их на веб-страницу. Если в такой параметр встроить JavaScript, он выполнится от имени сайта, к которому обратился пользователь, и может похитить куки и другую информацию с этого сайта.

Среди прочих обновлений, в Alpha 7 снова появилась поддерджка протокола обмена данными для веб-сервисов - SOAP.

Бета-версия Firefox 3, по словам разработчиков, выйдет тогда, когда очередная альфа-версия, выходящая каждые 6 недель, будет сочтена пригодной для широкого использования.


или введите имя

CAPTCHA
23-08-2007 21:48:58
ИМХО безполезно т.к. сегодня сайт чист и юзер его ставит в доверенные сайты, а завтро этот сайт хакнут.
0 |
1
23-08-2007 22:43:11
зачем, ведь есть NoScript?!
0 |
1
24-08-2007 07:03:01
Потому-что все эти бойскаутские расшерения только тормозят как браузер, так и открытие страниц. Пусть лучше нормальные интегрированые функции делают как в Opera.
0 |
1
24-08-2007 11:53:09
А какие в Operе есть функции для защиты от CSS/XSS?
0 |
1
24-08-2007 11:03:03
зачем, ведь есть NoScript?!это решение для имбицилов
0 |
24-08-2007 08:23:37
Интересно, надо будет заценить.
0 |
24-08-2007 13:31:45
То есть теперь в лисе все еще дольше будет грузится?! пока проверит потом покажет... нафиг... А ссылочку можно было бы и кинуть =( кому надо забираем http://www.mozilla.org/projects/firefox/3.0a7/releasenotes/
0 |
1
26-08-2007 07:20:51
на картинке написано Alfa а в тексте Alpha
0 |