Max Home IndustryРазработчики Google создали новую вики-страницу, которая знакомит разработчиков системы безопасности с межсайтовыми утечками.
Объявляя о запуске новой вики XS-Leaks в блоге Google Security, инженеры по информационной безопасности, Артур Янк и Терянк, комментируют:
Все чаще проблемы безопасности, обнаруживаемые в современных веб-приложениях, зависят от неправильного использования давнего поведения веб-платформы, что позволяет сомнительным сайтам раскрывать информацию о пользователе или их данных в других веб-приложениях. Этот класс проблем, широко называемый межсайтовыми утечками (XS-Leaks), создает интересные проблемы для инженеров безопасности и разработчиков веб-браузеров из-за разнообразия атак и сложности построения комплексной защиты.
Сама вики сообщает нам, что:
Межсайтовые утечки (также известные как XS-Leaks, XSLeaks) — это класс уязвимостей, производных от побочных каналов, встроенных в веб-платформу. Они пользуются преимуществом основного принципа веб-компоновки, который позволяет веб-сайтам взаимодействовать друг с другом, и злоупотребляют законными механизмами для получения информации о пользователе.
Цель вики — разъяснить принципы, лежащие в основе межсайтовых утечек, обсудить распространенные атаки и предложить механизмы защиты, направленные на смягчение этих атак.
Это открытая база знаний, и она требует комментариев от сообщества, чтобы постоянно обновлять и обогащать ее содержание. Добавление может происходить с помощью запросов на вытягивание, прямого редактирования и открытия проблем с Github.
Что касается самого материала, то есть две основные категории: Атака и Защита. Создатели вики рекомендуют вам сначала понять, как совершаются атаки, а затем научиться защищаться от них. Ведь если хочешь мира, учи войну…
Что касается XS-Leaks, мы находим информацию о:
- XS-поиск
- postMessage Broadcasts
- Подсчет кадров
- События ошибок и т.д.
Что касается защитных мер, мы находим информацию о:
- Блокировка чтения из разных источников
- Политика строгой изоляции
- Обрамление ограждений,
- Файлы cookie SameSite
- Политика кросс-происхождения-открывателя
- Защита кеша и т.д.
Сказав это, это не средняя информация по XSS. Информация здесь является специализированной и в основном предназначена для разработчиков безопасности. С другой стороны, если вы «простой» разработчик, которому необходимо понимать XSS в терминах непрофессионала, то лучше выбрать один из ресурсов, которые я описал в прошлом ih: