IE8 призван прикрыть гигантскую уязвимость всемирной паутины

Инженеры Microsoft обещают с помощью Internet Explorer 8 избавить Интернета от серьезнейшей проблемы: атак, позволяющих красть пароли к электронной почте, банковским счетам и другую частную информацию путем инъекции вредоносного кода в тела доверенных веб-сайтов.

Некоторые из известнейших в Интернете имен, включая Google, Yahoo и MySpace, неоднократно становились невольными участниками так называемых кросс-сайтовых скиптовых атак (от англ. cross-site scripting или просто XSS). Десятки тысяч других сайтов, принадлежащих различным банкам и страховым организациям, также оказались уязвимы к подобному классу атак. В течение последних лет у пользователей Firefox был весьма полезный для борьбы с атаками (но не идеальный) плагин NoScript, а вот у пользователей все еще самого популярного в мире браузера такой защиты не было.

С выходом IE8 ситуация должна в корне измениться. В прошлом месяце Microsoft сообщила о своем намерении включить в состав нового браузера XSS-фильтр, а в начале прошлой недели Microsoft внесла некоторые уточнения.

В частности инженеры Microsoft планируют уделить особое внимание тестированию на предмет ложных срабатываний и влияния XSS-фильтра на общую производительность просмотра веб-страниц. Больше не будет непонятных кодов ошибок и лишних диалоговых окон, которые частенько блокировали доверенные сайты и открывали новые возможности для атак.

"Очень непросто ограничивать XSS в целях сохранения баланса совместимости, безопасности и производительности" - говорит Дэвид Росс (David Ross), сотрудник команды Microsoft Security Vulnerability Research & Defense. Во избежание проблем с производительностью фильтр работает лишь на тех страницах, на которых выполняются скрипты, поэтому такие объекты, как изображения, попросту игнорируются. Фильтр также дает зеленый свет коду, который происходит с посещаемого в данный момент сайта. Фильтр можно отключить для определенных зон на базе политик безопасности.

Когда фильтр обнаруживает скрипт, находящийся на другом сайте, эвристический механизм инспектирует URL и POST-информацию с запрошенной страницы на наличие частоиспользуемых выражений. Фильтр сканирует URL на наличие подозрительных символов, таких как скриптовые тэги. При обнаружении подобных символов фильтр проверяет HTTP-код и генерирует сигнатуру. Затем сигнатуры сравниваются с HTTP-ответом, поэтому скрипты, признанные вредоносными, будут нейтрализованы. А вместо запуска вредоносного кода IE выведет на экран сообщение о том, что страница была модифицирована с целью предотвращения XSS-атаки.

Конкурирующие секьюрити-исследователи критикуют подобный подход. Джорджио Маоне (Giorgio Maone), создатель NoScript, говорит, что фильтр, скорее всего, будет пропускать многие атаки из-за наличия требования по проверке HTTP-запросов на соответствие. Атаки, использующие чистый JavaScript, или те, которые возвращают ответы частично, могут быть пропущены фильтром.

"Если вы реализуете функцию обеспечения безопасности, для которой известны варианты обхода, это еще большая угроза безопасности, чем обычные сетевые атаки" - заявил он нашему изданию.

Возможно. Но фильтр имеет и сторонников, среди которых Дейв Айтель (Dave Aitel), технический директор компании Immunity Security. Поскольку IE сравнивает веб-запрос с возвращенной страницей, фильтр с большой долей уверенности констатировать факт атаки. "Такой подход довольно-таки агрессивен по сравнению с другими способами защиты, зато и более действенен" - считает он.


Источник: http://www.theregister.co.uk
Перевод: deeper2k