26/11/2009
Niedawno pisaliśmy o błędach bezpieczeństwa w IE6 i IE7. Aby pozbyć się problemów, Microsoft zalecał “zaniepokojonym” użytkownikom przesiadkę na nowszą wersję przeglądarki, czyli Internet Explorer 8. Teraz chyba zmieni zdanie… ;)
Luka w IE8, o ironio, znajduje się w module podnoszącym bezpieczeństwo przeglądarki. Podczas normalnej pracy IE8 jest w stanie monitorować kod odwiedzanych przez użytkownika stron, a po wykryciu podejrzanych instrukcji (ataku XSS) usuwa w locie zagrożenie. Okazuje się jednak, że parser posiada i odwrotną funkcję… na stronie wolnej od złośliwego kodu może ten kod wprowadzić ;)
Błędów w module IE8 służącym do wykrywania ataków XSS jest więcej. Przeglądarka często blokuje poprawny kod (false-positive). Dziurę w IE8 potwierdzili pracownicy Google, ale odmówili podania szczegółów technicznych.
Jak zmniejszyć zagrożenie?
Aby wyłączyć wadliwą funkcję wykrywania ataków XSS w IE8 i tym samym ochronić przed błędem internautów korzystających z IE8, webmaster dowolnej strony internetowej powinien skonfigurować serwer HTTP tak, aby w odpowiedzi na żądanie przeglądarki wysyłał dodatkowy nagłówek:
X-XSS-Protection: 0
Firmą, która już wprowadziłą tego typu nagłówek we wszystkich swoich serwisach jest Google.
Biorąc pod uwagę jak bardzo Google stara się unikać wysyłania jakichkolwiek nadmiernych danych, muszą to traktować całkiem poważnie.
Albo bardzo chcą dać pstryczka w nos MS, zwłaszcza w momencie kiedy pierwsze strony newsów są zajęte doniesieniami o tym, że Bing płaci za usunięcie się z Google… ;)
W pierwszej chwili też pomyślałem o braku miłości do MS, ale…:
1) kto poza nielicznymi ludźmi z branży to zauważy?;
2) zasadniczo raczej to, że Google dodał ten nagłówek w żaden sposób MS nie zaboli;
3) nie zamykają nawet tagu , to chyba i na nagłówku oszczędzą… w końcu to miliardy bajtów jak przemnożymy przez odsłony…
O ile mnie pamięć nie myli, to poprawną formą jest “żądanie”, nie “rządanie”, które wkradło się w jedno z ostatnich zdań postu :-)
Oops, pałam dziś rządzą władzy, pewnie stąd ta literówk ;-) Dzięki za hinta, już poprawione.
No to hint ode mnie (czy raczej sugestia): zróbcie jakiś formularzyk do dyskretnego informowania o błędach w artykule. Nie lubię wytykać publicznie (bo przy ilości uwag, jakie może mieć człowiek z moim zboczeniem zawodowym, szybko wyszedłbym na trolla ;P).
@Jurgi, hehe — nie martw się, dobrze wiemy, żeś Pan nie troll. Błędy zawsze można via e-mail/formularz kontaktowy/twittera/blipa ;)