19:11
26/11/2009

Internet Explorer 8 dziurawy

Autor: vi.curry | Tagi:  

Niedawno pisaliśmy o błędach bezpieczeństwa w IE6 i IE7. Aby pozbyć się problemów, Microsoft zalecał “zaniepokojonym” użytkownikom przesiadkę na nowszą wersję przeglądarki, czyli Internet Explorer 8. Teraz chyba zmieni zdanie… ;)

Luka w IE8, o ironio, znajduje się w module podnoszącym bezpieczeństwo przeglądarki. Podczas normalnej pracy IE8 jest w stanie monitorować kod odwiedzanych przez użytkownika stron, a po wykryciu podejrzanych instrukcji (ataku XSS) usuwa w locie zagrożenie. Okazuje się jednak, że parser posiada i odwrotną funkcję… na stronie wolnej od złośliwego kodu może ten kod wprowadzić ;)

Błędów w module IE8 służącym do wykrywania ataków XSS jest więcej. Przeglądarka często blokuje poprawny kod (false-positive). Dziurę w IE8 potwierdzili pracownicy Google, ale odmówili podania szczegółów technicznych.

Jak zmniejszyć zagrożenie?

Aby wyłączyć wadliwą funkcję wykrywania ataków XSS w IE8 i tym samym ochronić przed błędem internautów korzystających z IE8, webmaster dowolnej strony internetowej powinien skonfigurować serwer HTTP tak, aby w odpowiedzi na żądanie przeglądarki wysyłał dodatkowy nagłówek:

X-XSS-Protection: 0

Firmą, która już wprowadziłą tego typu nagłówek we wszystkich swoich serwisach jest Google.

Przeczytaj także:

 
Niebezpiecznik

7 komentarzy

Dodaj komentarz
  1. Michał 2009.11.26 20:11 | # | Reply

    Biorąc pod uwagę jak bardzo Google stara się unikać wysyłania jakichkolwiek nadmiernych danych, muszą to traktować całkiem poważnie.

  2. pk 2009.11.26 20:16 | # | Reply

    Albo bardzo chcą dać pstryczka w nos MS, zwłaszcza w momencie kiedy pierwsze strony newsów są zajęte doniesieniami o tym, że Bing płaci za usunięcie się z Google… ;)

  3. Michał 2009.11.26 20:23 | # | Reply

    W pierwszej chwili też pomyślałem o braku miłości do MS, ale…:

    1) kto poza nielicznymi ludźmi z branży to zauważy?;
    2) zasadniczo raczej to, że Google dodał ten nagłówek w żaden sposób MS nie zaboli;
    3) nie zamykają nawet tagu , to chyba i na nagłówku oszczędzą… w końcu to miliardy bajtów jak przemnożymy przez odsłony…

  4. null 2009.11.26 20:27 | # | Reply

    O ile mnie pamięć nie myli, to poprawną formą jest “żądanie”, nie “rządanie”, które wkradło się w jedno z ostatnich zdań postu :-)

    • vi.curry 2009.11.26 20:38 | # |

      Oops, pałam dziś rządzą władzy, pewnie stąd ta literówk ;-) Dzięki za hinta, już poprawione.

  5. Jurgi 2009.11.27 00:47 | # | Reply

    No to hint ode mnie (czy raczej sugestia): zróbcie jakiś formularzyk do dyskretnego informowania o błędach w artykule. Nie lubię wytykać publicznie (bo przy ilości uwag, jakie może mieć człowiek z moim zboczeniem zawodowym, szybko wyszedłbym na trolla ;P).

  6. pk 2009.11.27 00:55 | # | Reply

    @Jurgi, hehe — nie martw się, dobrze wiemy, żeś Pan nie troll. Błędy zawsze można via e-mail/formularz kontaktowy/twittera/blipa ;)

Odpowiadasz na komentarz null

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: