19:11
26/11/2009

Internet Explorer 8 dziurawy

Niedawno pisaliśmy o błędach bezpieczeństwa w IE6 i IE7. Aby pozbyć się problemów, Microsoft zalecał “zaniepokojonym” użytkownikom przesiadkę na nowszą wersję przeglądarki, czyli Internet Explorer 8. Teraz chyba zmieni zdanie… ;)

Luka w IE8, o ironio, znajduje się w module podnoszącym bezpieczeństwo przeglądarki. Podczas normalnej pracy IE8 jest w stanie monitorować kod odwiedzanych przez użytkownika stron, a po wykryciu podejrzanych instrukcji (ataku XSS) usuwa w locie zagrożenie. Okazuje się jednak, że parser posiada i odwrotną funkcję… na stronie wolnej od złośliwego kodu może ten kod wprowadzić ;)

Błędów w module IE8 służącym do wykrywania ataków XSS jest więcej. Przeglądarka często blokuje poprawny kod (false-positive). Dziurę w IE8 potwierdzili pracownicy Google, ale odmówili podania szczegółów technicznych.

Jak zmniejszyć zagrożenie?

Aby wyłączyć wadliwą funkcję wykrywania ataków XSS w IE8 i tym samym ochronić przed błędem internautów korzystających z IE8, webmaster dowolnej strony internetowej powinien skonfigurować serwer HTTP tak, aby w odpowiedzi na żądanie przeglądarki wysyłał dodatkowy nagłówek:

X-XSS-Protection: 0

Firmą, która już wprowadziłą tego typu nagłówek we wszystkich swoich serwisach jest Google.

Przeczytaj także:



7 komentarzy

Dodaj komentarz
  1. Biorąc pod uwagę jak bardzo Google stara się unikać wysyłania jakichkolwiek nadmiernych danych, muszą to traktować całkiem poważnie.

  2. Albo bardzo chcą dać pstryczka w nos MS, zwłaszcza w momencie kiedy pierwsze strony newsów są zajęte doniesieniami o tym, że Bing płaci za usunięcie się z Google… ;)

  3. W pierwszej chwili też pomyślałem o braku miłości do MS, ale…:

    1) kto poza nielicznymi ludźmi z branży to zauważy?;
    2) zasadniczo raczej to, że Google dodał ten nagłówek w żaden sposób MS nie zaboli;
    3) nie zamykają nawet tagu , to chyba i na nagłówku oszczędzą… w końcu to miliardy bajtów jak przemnożymy przez odsłony…

  4. O ile mnie pamięć nie myli, to poprawną formą jest “żądanie”, nie “rządanie”, które wkradło się w jedno z ostatnich zdań postu :-)

    • Oops, pałam dziś rządzą władzy, pewnie stąd ta literówk ;-) Dzięki za hinta, już poprawione.

  5. No to hint ode mnie (czy raczej sugestia): zróbcie jakiś formularzyk do dyskretnego informowania o błędach w artykule. Nie lubię wytykać publicznie (bo przy ilości uwag, jakie może mieć człowiek z moim zboczeniem zawodowym, szybko wyszedłbym na trolla ;P).

  6. @Jurgi, hehe — nie martw się, dobrze wiemy, żeś Pan nie troll. Błędy zawsze można via e-mail/formularz kontaktowy/twittera/blipa ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: