Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1202810
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-26 16:21:06

该项目简称为 CSP RSnake 协助mozilla的安全team搞出来的。

今天在这里 http://blog.securityps.com/2009/08/mozilla-to-release-content-security.html 看到最新的进展,mozilla计划于 firefox 3.6 提供这一功能。

然后我又到这里看了文档和细节

~bsterne/content-security-policy/details.html

首先,这份文档是值得肯定的,格式工整,颜色看起来很舒服。

内容上也可以做一份XSS的指导。

但是,关于CSP这个项目本身,我认为在普及上还有很长很长一段路要走。他要求程序员修改每一个页面,给每个页面制定策略文件。而由于CSP还不是标准,就FF一家支持,所以即便程序员改了每个页面,那么还有那么多其他浏览器的用户无法照顾到。

在可用性上,根据策略文件看来,如果一个页面频繁的更新,或者是要求有大量不同源的可信数据,就很难写这个策略文件了。

比如支付宝有几十万的商家用户,如果在某个页面,这些商家需要向支付宝提供数据,那么显然不可能在策略文件里定义几十万条源!

最要命的,我在CSP项目里,没有看到任何针对DOM based XSS的防范,这点需要等FF3.6发布后才能验证。

此外,还可能存在缺陷的有几个地方,需要等发布后验证,我也不好在这里乱说。

harry
根据CSP的思想,也写了一个ACS,他的思路是使用JS,纯粹从客户端实现,虽然在可用性上也存在上述的问题,但是却解决了跨浏览器的问题,也算是一个大的进步。

我让他写篇paper,也许能在webzine 0x04上和大家见面。

前段时间在Blackhat 大会上见了 RSnake一面,眼睛长的非常大,像牛眼,应该属于精力极度旺盛的那种人. XD

阅读(1305) | 评论(0) | 转发(0) |
0

上一篇:Memcached 的漏洞

下一篇:今天的几个漏洞

给主人留下些什么吧!~~