26/11/2009
Niedawno pisaliśmy o błędach bezpieczeństwa w IE6 i IE7. Aby pozbyć się problemów, Microsoft zalecał “zaniepokojonym” użytkownikom przesiadkę na nowszą wersję przeglądarki, czyli Internet Explorer 8. Teraz chyba zmieni zdanie… ;)
Luka w IE8, o ironio, znajduje się w module podnoszącym bezpieczeństwo przeglądarki. Podczas normalnej pracy IE8 jest w stanie monitorować kod odwiedzanych przez użytkownika stron, a po wykryciu podejrzanych instrukcji (ataku XSS) usuwa w locie zagrożenie. Okazuje się jednak, że parser posiada i odwrotną funkcję… na stronie wolnej od złośliwego kodu może ten kod wprowadzić ;)
Błędów w module IE8 służącym do wykrywania ataków XSS jest więcej. Przeglądarka często blokuje poprawny kod (false-positive). Dziurę w IE8 potwierdzili pracownicy Google, ale odmówili podania szczegółów technicznych.
Jak zmniejszyć zagrożenie?
Aby wyłączyć wadliwą funkcję wykrywania ataków XSS w IE8 i tym samym ochronić przed błędem internautów korzystających z IE8, webmaster dowolnej strony internetowej powinien skonfigurować serwer HTTP tak, aby w odpowiedzi na żądanie przeglądarki wysyłał dodatkowy nagłówek:
X-XSS-Protection: 0
Firmą, która już wprowadziłą tego typu nagłówek we wszystkich swoich serwisach jest Google.
Przeczytaj także:
- Exploit na Internet Explorer (wszystkie wersje) [CSS, 0day]
- Paskudny błąd w IE8 umożliwia kradzież danych
- [0day] Dziura w Internet Explorerze (atak zdalny)
Biorąc pod uwagę jak bardzo Google stara się unikać wysyłania jakichkolwiek nadmiernych danych, muszą to traktować całkiem poważnie.
Albo bardzo chcą dać pstryczka w nos MS, zwłaszcza w momencie kiedy pierwsze strony newsów są zajęte doniesieniami o tym, że Bing płaci za usunięcie się z Google… ;)
W pierwszej chwili też pomyślałem o braku miłości do MS, ale…:
1) kto poza nielicznymi ludźmi z branży to zauważy?;
2) zasadniczo raczej to, że Google dodał ten nagłówek w żaden sposób MS nie zaboli;
3) nie zamykają nawet tagu , to chyba i na nagłówku oszczędzą… w końcu to miliardy bajtów jak przemnożymy przez odsłony…
O ile mnie pamięć nie myli, to poprawną formą jest “żądanie”, nie “rządanie”, które wkradło się w jedno z ostatnich zdań postu :-)
Oops, pałam dziś rządzą władzy, pewnie stąd ta literówk ;-) Dzięki za hinta, już poprawione.
No to hint ode mnie (czy raczej sugestia): zróbcie jakiś formularzyk do dyskretnego informowania o błędach w artykule. Nie lubię wytykać publicznie (bo przy ilości uwag, jakie może mieć człowiek z moim zboczeniem zawodowym, szybko wyszedłbym na trolla ;P).
@Jurgi, hehe — nie martw się, dobrze wiemy, żeś Pan nie troll. Błędy zawsze można via e-mail/formularz kontaktowy/twittera/blipa ;)