19:11
26/11/2009

Internet Explorer 8 dziurawy

Autor: vi.curry | Tagi:  

Niedawno pisaliśmy o błędach bezpieczeństwa w IE6 i IE7. Aby pozbyć się problemów, Microsoft zalecał “zaniepokojonym” użytkownikom przesiadkę na nowszą wersję przeglądarki, czyli Internet Explorer 8. Teraz chyba zmieni zdanie… ;)

Luka w IE8, o ironio, znajduje się w module podnoszącym bezpieczeństwo przeglądarki. Podczas normalnej pracy IE8 jest w stanie monitorować kod odwiedzanych przez użytkownika stron, a po wykryciu podejrzanych instrukcji (ataku XSS) usuwa w locie zagrożenie. Okazuje się jednak, że parser posiada i odwrotną funkcję… na stronie wolnej od złośliwego kodu może ten kod wprowadzić ;)

Błędów w module IE8 służącym do wykrywania ataków XSS jest więcej. Przeglądarka często blokuje poprawny kod (false-positive). Dziurę w IE8 potwierdzili pracownicy Google, ale odmówili podania szczegółów technicznych.

Jak zmniejszyć zagrożenie?

Aby wyłączyć wadliwą funkcję wykrywania ataków XSS w IE8 i tym samym ochronić przed błędem internautów korzystających z IE8, webmaster dowolnej strony internetowej powinien skonfigurować serwer HTTP tak, aby w odpowiedzi na żądanie przeglądarki wysyłał dodatkowy nagłówek:

X-XSS-Protection: 0

Firmą, która już wprowadziłą tego typu nagłówek we wszystkich swoich serwisach jest Google.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

7 komentarzy

Dodaj komentarz
  1. Michał 2009.11.26 20:11 | # | Reply

    Biorąc pod uwagę jak bardzo Google stara się unikać wysyłania jakichkolwiek nadmiernych danych, muszą to traktować całkiem poważnie.

  2. pk 2009.11.26 20:16 | # | Reply

    Albo bardzo chcą dać pstryczka w nos MS, zwłaszcza w momencie kiedy pierwsze strony newsów są zajęte doniesieniami o tym, że Bing płaci za usunięcie się z Google… ;)

  3. Michał 2009.11.26 20:23 | # | Reply

    W pierwszej chwili też pomyślałem o braku miłości do MS, ale…:

    1) kto poza nielicznymi ludźmi z branży to zauważy?;
    2) zasadniczo raczej to, że Google dodał ten nagłówek w żaden sposób MS nie zaboli;
    3) nie zamykają nawet tagu , to chyba i na nagłówku oszczędzą… w końcu to miliardy bajtów jak przemnożymy przez odsłony…

  4. null 2009.11.26 20:27 | # | Reply

    O ile mnie pamięć nie myli, to poprawną formą jest “żądanie”, nie “rządanie”, które wkradło się w jedno z ostatnich zdań postu :-)

    • vi.curry 2009.11.26 20:38 | # |

      Oops, pałam dziś rządzą władzy, pewnie stąd ta literówk ;-) Dzięki za hinta, już poprawione.

  5. Jurgi 2009.11.27 00:47 | # | Reply

    No to hint ode mnie (czy raczej sugestia): zróbcie jakiś formularzyk do dyskretnego informowania o błędach w artykule. Nie lubię wytykać publicznie (bo przy ilości uwag, jakie może mieć człowiek z moim zboczeniem zawodowym, szybko wyszedłbym na trolla ;P).

  6. pk 2009.11.27 00:55 | # | Reply

    @Jurgi, hehe — nie martw się, dobrze wiemy, żeś Pan nie troll. Błędy zawsze można via e-mail/formularz kontaktowy/twittera/blipa ;)

Odpowiadasz na komentarz pk

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: