Положитесь на функции декларативной безопасности в веб-браузере

Современные веб-приложения проложили границы между моделями веб-разработки. В области безопасности это подняло интересный вопрос - кто отвечает за безопасность веб-приложения, построенного на сложной иерархии платформ? Приложение на вершине стека, промежуточный компонент платформы или сам браузер?

Мы уверены, что ответственность за безопасность веб-приложения разделена между клиентом веб-обозревателя, компонентами веб-платформы (такими как ASP.Net) и самими веб-приложениями. Любое распределение ответственности за безопасность может при обнаружении очередной уязвимости привести к поиску виновных. Вот почему мы рекомендуем использовать в приложениях декларативные функции безопасности, которые однозначно устанавливают ответственность в период проектирования.


Пример
Недавно опубликованные Калифорнийским университетом в Беркли исследования демонстрируют любопытные изъяны, касающиеся новых сложных веб-платформ. Одна из этих проблем была связана с использованием API postMessage, который поддерживается в IE8 для публикации междоменного сообщения с использованием подстановочного параметра targetOrigin. Параметр targetOrigin, настроенный в качестве замены, позволяет сообщению просочиться к любой цели без подтверждения. Эта опасность раскрытия информация является причиной того, что разработчики спецификаций требуют от вызывающей стороны явно задавать targetOrigin:

Наконец, в черновом варианте HTML 5.0 также оговаривается, что параметр targetOrigin для метода postMessage становится обязательным, а не опциональным. Это не позволит разработчиком делать ошибки, требуя четкого подтверждения целевого назначения сообщения, благодаря точному определению первоначального <URL> или группового символа <*>.

Из: http://blogs.msdn.com/ie/archive/2008/10/06/updates-for-ajax-in-ie8-beta-2.aspx

Одна из причин, способствовавших участию Microsoft в рабочей группе по разработке спецификаций HTML5 Web Messaging, было желание убедиться, что результат ее работы сможет быть встроен "безопасно по умолчанию" в такие продукты, как Internet Explorer.

Мы обновили нашу документацию по API postMessage, чтобы лучше показать влияние параметра targetOrigin на безопасность.

В этом примере браузер предоставляет примитив, который, при правильном использовании, дает возможность безопасной платформы. Более точный результат заключается в том, что предшествующие API postMessage методы попросту не предоставляют надежного способа для безопасной передачи сообщений.


Как помогают гарантии декларативной безопасности
При правильном использовании возможности декларативной безопасности в обозревателе позволяют использование новых сценариев, помогая в то же время разработчикам веб-приложений избежать потенциально ненадежных приемов на программном уровне. Эти возможности, в конечном счете, помогают сократить неопределенность и сложность обеспечения безопасности веб-приложений. Вместо того, чтобы для достижения объективной безопасности полагаться на свойственное браузеру поведение, можно воспользоваться решением, которое предлагает сам браузер.

В современных браузерах имеется ряд функций декларативной безопасности. Ниже приведен список из нескольких функций:

Версия IE	Описание
IE8 и выше	Не позволяет использование фреймов на странице, уменьшает риск атак типа ClickJacking
Все поддерживаемые версии IE	Не позволяет передачу coockie ненадежным веб-узлам, уменьшает риск атак методом перехвата сообщений
IE6 и выше	Предотвращает прямую кражу ID сессии с использованием cookie в случае уязвимости запуска скриптов между узлами.
IE8 и выше	Позволяет веб-приложениям убирать потенциально вредоносные скрипты из HTML-кода на стороне клиента
IE6 и выше	Отключает исполнение скрипта в фрейме, что приводит к более безопасному приему внешнего содержимого

Подводя итоги, следует сказать, что очень важно использовать все преимущества поддерживаемых обозревателем возможностей декларативной безопасности. Правильная настройка параметра targetOrigin при использовании postMessage является одним из примеров. Для уменьшения угроз максимально полагайтесь на соответствующие возможности платформы при разработке и создании модели риска веб-приложений. Просто используйте эти технологии, чтобы быть уверенными, что ваши цели в сфере безопасности окончательно достигнуты.

Дэвид Росс (David Ross),
Главный инженер безопасности программного обеспечения
Microsoft Security Response Center


Источник: http://blogs.msdn.com/ieru
Перевод: Sibiryak