Filtr XSS w IE8
Na oficjalnym blogu IE pojawił się wpis informujący o jednej z nowości dodanych do Internet Explorer 8 beta 2 mającej w znacznym stopniu zwiększyć bezpieczeństwo korzystania z Internetu. Mowa o filtrze XSS, który powstał we współpracy z teamem Security Vulnerability Research & Defense.
Opis: Efekt działania filtru XSS (źródło: IEBlog)
Biorąc pod uwagę skalę błędów XSS oraz ich konsekwencje udane wdrożenie filtru może znacząco podnieść bezpieczeństwo użytkowników Internetu. Co ciekawe jest to jedna z nielicznych opcji, które IE będzie posiadało jako pierwsza z przeglądarek, jak dotąd charakteryzowało ją raczej kopiowanie funkcji konkurencji.
Nie pozostaje nam nic innego jak tylko czekać na wydanie IE 8b2 oraz testy nowego modułu. Ciekawe jak szybko filtr XSS pojawi się w innych przeglądarkach.
DiLu napisał(a): #1
3.07.2008 20:58
Che-che-che :-D Kopiowanie to życie - bez niego nie byłoby konkurencji. Ale ciekawy dodatek.
Bigismall napisał(a): #2
3.07.2008 21:01
No i bez sensu. Przypomina mi to czasy kiedy IE interpretowało najbardziej bzdurny kod HTML, siląc się na jego poprawne wyświetlenie. Przeglądarka nie powinna myśleć za programistę. To on powinien wykluczyć możliwość takiego ataku. Działania Microsoftu wbrew pozorom mogą zwiększyć podatność witryn na XSS, gdyż programiści zaczną problem trywializować i spychać na przeglądarkę jego rozwiązanie.
Michał "Bełdzio" Ławicki napisał(a): #3
3.07.2008 21:07
Tu raczej przeglądarka ma chronić usera, a nie myśleć za programistę :) a co do trywializowania problemu to imho ci co zabezpieczają będą zabezpieczać :) w końcu są też inne przeglądarki :)
Marcin "Ktos" Badurowicz napisał(a): #4
3.07.2008 21:25
Funkcjonalność wydaje się ciekawa, o ile będzie się sprawdzać. Kto wie czy dany string który ja potrzebuję przekazać na stronę to już jest XSS, czy też taki "feature" aplikacji webowej, jakiej używam?
@Bigismall: Każda współczesna przeglądarka interpretuje każdy bzdurny kod najlepiej jak może. Niestety...
IE nie jest tutaj wyjątkiem.
A tak w ogóle IE8b2 ma być w sierpniu dostępne.
Michał "Bełdzio" Ławicki napisał(a): #5
3.07.2008 21:27
Ktosiu, na szczęście programista wysyłając odpowiedni nagłówek będzie mógł wyłączyć tą funkcjonalność :) hmm teraz zamiast XSS będzie Header Injection :)
DiLu napisał(a): #6
3.07.2008 23:15
Czyli MS szykuje pole pod kolejną bitwę :-D
Cóż, jaki pan, taki kram, więc ta funkcja powinna zadowolić jedynie początkujących programistów, bo tym bardziej zaawansowanym nie powinny umykać takie zabezpieczenia.
BTW Jestem wyczulony na kulturę języka i prawidłowa odmiana to Ktosie, jak Klosie. (Takie ćwiczenie dla języka :-P).
Michał "Bełdzio" Ławicki napisał(a): #7
3.07.2008 23:18
hmmm czemu patrzycie na to jako na wygodę dla programistów? jak zawsze tak i teraz IE mało ma wspólnego z programistami :) ten filtr jest skierowany tylko i wyłącznie dla użytkownika przeglądarki :)
DiLu napisał(a): #8
4.07.2008 09:25
No dobrze, ale gdyby to było jedynie dla wygody użytkownika, programista by mógł sobie olać takie zabezpieczenia. Jednak tak nie może być.