Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

Filtr XSS w IE8

Na oficjalnym blogu IE pojawił się wpis informujący o jednej z nowości dodanych do Internet Explorer 8 beta 2 mającej w znacznym stopniu zwiększyć bezpieczeństwo korzystania z Internetu. Mowa o filtrze XSS, który powstał we współpracy z teamem Security Vulnerability Research & Defense.


Efekt działania filtru XSS (źródło: IEBlog)

Efekt działania filtru XSS (źródło: IEBlog)

Biorąc pod uwagę skalę błędów XSS oraz ich konsekwencje udane wdrożenie filtru może znacząco podnieść bezpieczeństwo użytkowników Internetu. Co ciekawe jest to jedna z nielicznych opcji, które IE będzie posiadało jako pierwsza z przeglądarek, jak dotąd charakteryzowało ją raczej kopiowanie funkcji konkurencji.

Nie pozostaje nam nic innego jak tylko czekać na wydanie IE 8b2 oraz testy nowego modułu. Ciekawe jak szybko filtr XSS pojawi się w innych przeglądarkach.

Warto zobaczyć:


Tagi: , ,
Kategoria: Bezpieczeństwo, Aktualności


8 komentarzy

  1. DiLu napisał(a):

    Che-che-che :-D Kopiowanie to życie – bez niego nie byłoby konkurencji. Ale ciekawy dodatek.

  2. Bigismall napisał(a):

    No i bez sensu. Przypomina mi to czasy kiedy IE interpretowało najbardziej bzdurny kod HTML, siląc się na jego poprawne wyświetlenie. Przeglądarka nie powinna myśleć za programistę. To on powinien wykluczyć możliwość takiego ataku. Działania Microsoftu wbrew pozorom mogą zwiększyć podatność witryn na XSS, gdyż programiści zaczną problem trywializować i spychać na przeglądarkę jego rozwiązanie.

  3. Michał "Bełdzio" Ławicki napisał(a):

    Tu raczej przeglądarka ma chronić usera, a nie myśleć za programistę :) a co do trywializowania problemu to imho ci co zabezpieczają będą zabezpieczać :) w końcu są też inne przeglądarki :)

  4. Marcin "Ktos" Badurowicz napisał(a):

    Funkcjonalność wydaje się ciekawa, o ile będzie się sprawdzać. Kto wie czy dany string który ja potrzebuję przekazać na stronę to już jest XSS, czy też taki "feature" aplikacji webowej, jakiej używam?

    @Bigismall: Każda współczesna przeglądarka interpretuje każdy bzdurny kod najlepiej jak może. Niestety…
    IE nie jest tutaj wyjątkiem.

    A tak w ogóle IE8b2 ma być w sierpniu dostępne.

  5. Michał "Bełdzio" Ławicki napisał(a):

    Ktosiu, na szczęście programista wysyłając odpowiedni nagłówek będzie mógł wyłączyć tą funkcjonalność :) hmm teraz zamiast XSS będzie Header Injection :)

  6. DiLu napisał(a):

    Czyli MS szykuje pole pod kolejną bitwę :-D
    Cóż, jaki pan, taki kram, więc ta funkcja powinna zadowolić jedynie początkujących programistów, bo tym bardziej zaawansowanym nie powinny umykać takie zabezpieczenia.
    BTW Jestem wyczulony na kulturę języka i prawidłowa odmiana to Ktosie, jak Klosie. (Takie ćwiczenie dla języka :-P).

  7. Michał "Bełdzio" Ławicki napisał(a):

    hmmm czemu patrzycie na to jako na wygodę dla programistów? jak zawsze tak i teraz IE mało ma wspólnego z programistami :) ten filtr jest skierowany tylko i wyłącznie dla użytkownika przeglądarki :)

  8. DiLu napisał(a):

    No dobrze, ale gdyby to było jedynie dla wygody użytkownika, programista by mógł sobie olać takie zabezpieczenia. Jednak tak nie może być.

Dodaj komentarz