Zabezpieczenia w Internet Explorerze 8

Strona główna Aktualności

O autorze

Zmiany w wersji kandydującej przeglądarki Internet Explorer 8 w stosunku do drugiej bety to nie tylko lepsza stabilność i szybkość działania ale także nowe zabezpieczenia przed atakami typu cross-site scripting. Warto przyjrzeć im się nieco bliżej.

Ataki cross-site scripting (XSS) polegają w uproszczeniu na tym, że jedna strona internetowe otrzymuje dostęp do innej strony i może z niej wykraść dane użytkownika, np. ciasteczka lub też wykonać atak typu phishing. Mogą być one potem użyte np. do przejęcia konta użytkownika w danym serwisie internetowym. Ochrona przed XSS jest trudna, błędy w przeglądarkach pozwalające na XSS są wykrywane dosyć często.

W Internet Explorerze 8 wprowadzono kilka zmian, które mają uchronić użytkownika przed złośliwym kodem umieszczonym na odwiedzanych stronach, wykorzystującym XSS. Jedną z takich zmian jest traktowanie danych wejściowych jako ciąg bajtów zamiast ciągu znaków. W związku ze sposobem obsługi niektórych znaków w przypadku chińskich ustawień językowych w systemie, w becie IE8 znaki te mogły być niewykrywane przez filtr anty-XSS. Inną przypadłością filtra w wersji beta było pomijanie fragmentów odpowiedzi HTTP przy napotkaniu na zerowe bajty. Nie działał on też w przypadku usunięcia slashy za pomocą funkcji stripslashes() w PHP.

W Internet Explorerze 8 RC1 dodano także zabezpieczenie przed atakami wykorzystującymi znaki zapisane w formacie overlong UTF-8 escape. Pojawiło się też zabezpieczenie przed wstrzyknięciem elementów FORM i ISINDEX. Atrybut CODETYPE tagu OBJECT jest teraz tak samo traktowany jak atrybut TYPE. Wprowadzono także prewalidację, która ma przyspieszyć przetwarzanie wyrażeń regularnych.

© dobreprogramy