Zabezpieczenia w Internet Explorerze 8

Zabezpieczenia w Internet Explorerze 803.02.2009 21:13
Grzegorz Niemirowski

Zmiany w wersji kandydującej przeglądarki Internet Explorer 8 wstosunku do drugiej bety to nie tylko lepsza stabilność i szybkośćdziałania ale także nowe zabezpieczenia przed atakami typucross-site scripting. Warto przyjrzeć im się nieco bliżej. Ataki cross-site scripting (XSS) polegają wuproszczeniu na tym, że jedna strona internetowe otrzymuje dostępdo innej strony i może z niej wykraść dane użytkownika, np.ciasteczka lub też wykonać atak typu phishing. Mogą być one potemużyte np. do przejęcia konta użytkownika w danym serwisieinternetowym. Ochrona przed XSS jest trudna, błędy w przeglądarkachpozwalające na XSS są wykrywane dosyć często. W Internet Explorerze 8 wprowadzono kilka zmian, które mająuchronić użytkownika przed złośliwym kodem umieszczonym naodwiedzanych stronach, wykorzystującym XSS. Jedną z takich zmianjest traktowanie danych wejściowych jako ciąg bajtów zamiast ciąguznaków. W związku ze sposobem obsługi niektórych znaków w przypadkuchińskich ustawień językowych w systemie, w becie IE8 znaki temogły być niewykrywane przez filtr anty-XSS. Inną przypadłościąfiltra w wersji beta było pomijanie fragmentów odpowiedzi HTTP przynapotkaniu na zerowe bajty. Nie działał on też w przypadkuusunięcia slashy za pomocą funkcji stripslashes() w PHP. W Internet Explorerze 8 RC1 dodano także zabezpieczenie przedatakami wykorzystującymi znaki zapisane w formacie overlong UTF-8 escape. Pojawiło się teżzabezpieczenie przed wstrzyknięciem elementów FORM i ISINDEX.Atrybut CODETYPE tagu OBJECT jest teraz tak samo traktowany jakatrybut TYPE. Wprowadzono także prewalidację, która ma przyspieszyćprzetwarzanie wyrażeń regularnych.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (44)