Комментарии 27
https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
OWASP считает что X-XSS-Protection включать не стоит. У вас написано что «считается что стоит». Кем считается?
Раз у нас написано, логично предположить, что нами и считается.
Мне кажется это неконструктивный подход, поскольку фактически вы предлагаете положиться на ваш экспертный опыт, который как минимум для меня, по сравнению с OWASP, ничем не подтверждён.
Я согласен с вашей оценкой состояния безопасности указанных сайтов, но подтверждение вашей методики способом «нами считается» без обоснования, ссылок на литературу и на какой-бы то ни было источник консенсуса по этому вопросу это неспортивно =)
Я согласен с вашей оценкой состояния безопасности указанных сайтов, но подтверждение вашей методики способом «нами считается» без обоснования, ссылок на литературу и на какой-бы то ни было источник консенсуса по этому вопросу это неспортивно =)
Я лично предлагаю положиться на вполне себе документированный производителями браузеров механизм XSS-фильтрации. Тогда как OWASP по приведенной Вами ссылке никак не обосновывает свою рекомендацию отключать этот фильтр.
К соажлению, вы вероятно прочитали статью недостаточно внимательно.
Посмотрите пожалуйста текст в разделе cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html#x-xss-protection-header:
Фактически, кроме [Mobile] Safari ни один актуальный браузер на текущий момент не реализует XSS Auditor, а поддержка его в Safari основана на технологиях, которые были актуальны в 2016 году. У меня под рукой нет PoC, который бы сработал на off-the-shelf Safari в iOS 14, но я думаю что если попросить мнения у признанных экспертов в этой области, можно выяснить.
Контактами, увы, не помогу, сейчас некогда искать.
Посмотрите пожалуйста текст в разделе cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html#x-xss-protection-header:
Check the below references for a better understanding on this topic:
Google Chrome’s XSS Auditor goes back to filter mode
Chrome removed the XSS Auditor
Firefox does not implement the XSSAuditor
Edge retired their XSS filter
OWASP ZAP deprecated the scan for the header
SecurityHeaders.com no longer scans for the header
Фактически, кроме [Mobile] Safari ни один актуальный браузер на текущий момент не реализует XSS Auditor, а поддержка его в Safari основана на технологиях, которые были актуальны в 2016 году. У меня под рукой нет PoC, который бы сработал на off-the-shelf Safari в iOS 14, но я думаю что если попросить мнения у признанных экспертов в этой области, можно выяснить.
Контактами, увы, не помогу, сейчас некогда искать.
Прочитал, и ссылки смотрел — ничего нового для себя не увидел. Ну да, XSS Auditor не идеален, CSP лучше, давайте все перейдем на CSP (давайте, мы об этом и пишем) и отключим XSS Auditor. А вот это-то зачем? Сколько я курил эту тему, XSS Auditor может не сработать, а не может создать условия для дополнительного вектора атаки. Т.е. он deprecated, как и было сказано, а не vulnerable.
Вполне себе vulnerable был в Хроме например. https://medium.com/bugbountywriteup/xss-auditor-the-protector-of-unprotected-f900a5e15b7b
Поручитесь что в Safari такого нет?
На своём примере, как муниципальный служащий, могу сказать что это вот всё непонятно большому и дорогооплачиваемому начальству. Кнопочки другой формы/цвета, дизайн — это понятно. А вот те буквы что вы написали непонятны. И это принципиальная проблема всякой деиндустриализированной страны. Решение предложили 103 года назад. Но вангую, что сейчас набегут и заминусят.
Просто излагать надо так, чтобы было понять и начальству. С примерами конкретными, с объяснениями чем всё это грозит в одной статье. Сарказм начальство не понимает. Тыкать в ссылки не будет. В целом, для людей не в теме, статья выглядит как вброс.
103 года назад (в 1917) случился кровавый переворот, ослабление производственных (заводовладельцы знали, как правильно производить), аграрных (кулаки выращивали урожай лучше прочих) и культурных (грамотные умели проектировать, рекламировать и изобретать продукцию) сил страны.
Хотите ощутить на себе? Езжайте в любую бунтующую африканскую страну — там полно дикости и бандитизма.
А меня устроит эволюция страны.
Грамотность начальников вырастет, если на них массово в суд подавать за каждую ошибку.
Кровавый?
Что Февральская, что Октябрьская революция проходили максимально быстро и что удивительно практически бескровно. Почему то никому не хотелось ни помирать, ни убивать.
в суд подавать за каждую ошибку
Это требует наличие судебной системы и государства
К сожалению, у нас нет ни того, ни другого.
НЛО прилетело и опубликовало эту надпись здесь
Спасибо. Пошёл тестировать свои проекты :)
Мне кажется что если по теме статьи то больше подойдёт:
https://www.immuniweb.com/websec/?id=bPPo3M4Z
и
Те же яйца, вид сбоку, хотя Immuniweb тестирует еще наличие EMS, но вот результаты теста сертификатов у него менее наглядные ИМХО. Надо смотреть все существующие и выбирать под себя, не говоря уже о том, что результаты могут отличаться и полезно узнать «разное мнение». Кстати, крутой рейт у сайта ;) но оставлять только TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 — смелое решение, отсекающее часть старых клиентов.
Делали ли Вы Poc для указанных уязвимостей? (CVE-2014-3566 (POODLE), CVE-2016-2183/CVE-2016-6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle))
Много ли примеров в личной практике Вы встречали где такие атаки реализуемы, с техническим подтверждением?
Много ли примеров в личной практике Вы встречали где такие атаки реализуемы, с техническим подтверждением?
1. Нет, это незаконно.
2. Означает ли это, что и не стоит тратить время на их закрытие (выполняемое обновлением серверного ПО хотя бы раз в год и документированными настройками в 1 строку)?
2. Означает ли это, что и не стоит тратить время на их закрытие (выполняемое обновлением серверного ПО хотя бы раз в год и документированными настройками в 1 строку)?
1. Если вы будет проверять на своем персональном аккаунте, какую статью УК РФ вы нарушите и в чем будет преступный умысел?
2. Не означает что не нужно обновлять ПО, но Вы не ответили на вопрос.
2. Не означает что не нужно обновлять ПО, но Вы не ответили на вопрос.
Ст.272 УК РФ, диспозиция которой не упоминает умысел, а основывается исключительно на последствиях.
Интересные последствия, что Вы получили доступ к своим же данным. И все так же убегаете от ответа :)
Где Вы видели слово «данные» в ст.272? Там говорится о «компьютерной информации». Проэксплуатировали уязвимость — получили неправомерный доступ. Вызвали, скажем, понижение версии протокола — модифицировали информацию. Получили после этого ответ сервера — еще и скопировали информацию. 272-я статья так и работает. А тут еще и тот редкий случай, когда и 274-я может довеском прилететь.
Простите, вопрос какой был? Много ли на личной практике сталкивался? Ни разу. Я думал, это риторический вопрос.
Простите, вопрос какой был? Много ли на личной практике сталкивался? Ни разу. Я думал, это риторический вопрос.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Социальные сети оказались безопаснее порталов государственных услуг