Блог #безопасность

Мальта, март 2014. Blue Grotto
. %!s(<nil>)
Новый год 2008 (Норвегия, Швеция, Дания). Биллаккспесиалистен Ст. Ханшаугенс Фарвехандел
Панорамы. Берлин 2018. Вид на вокзал Хауптбанхоф
Тайланд, Индонезия, Сингапур (зима 2010). А это уже Прамбанан
Исландия 2023.
Прага, май 2017. Заплатака на дороге
Новый Год 2009 (Амстердам). Мы в музее Хайникена
Хорватия, Млини 2017. Апартаменты в Млини
Исландия 2023.
Март 2017. Берлин — Роттердам — Дюссельдорф. Дюссельдорф
Киев, лето 2009. Бомжулька
Март 2017. Берлин — Роттердам — Дюссельдорф. Помидорки
Весна 2012. Германия — Франция — Италия. Трасса Формулы 1 в Монте-Карло
Тайланд, Индонезия, Сингапур (зима 2010). Я в Боробудуре
Перу и Боливия. Зима-весна 2011. Солончак Уюни
Весна 2012. Германия — Франция — Италия. Вид с замка
Весна 2012. Германия — Франция — Италия. Горы
Тайланд, Индонезия, Сингапур (зима 2010). Обезьяна
. %!s(<nil>)
Киев, лето 2009. Неизвестное дерево
Берлин 2023. Граффити в Тойфельсберге
Тайланд, Индонезия, Сингапур (зима 2010). Джакарта. Знак
Новый год 2008 (Норвегия, Швеция, Дания). Я с каким-то дядькой читаю газету
Тайланд 2018. %!s(<nil>)
Тайланд, Индонезия, Сингапур (зима 2010). В Сингапурском зоопарке. Леопардовая (бенгальская) кошка. Самое красивое на свете животное!
Из поездки в Ирландию.
Перу и Боливия. Зима-весна 2011. Солончак Уюни
Перу и Боливия. Зима-весна 2011. Камень
Новый год 2008 (Норвегия, Швеция, Дания). забор из старых лыж
Чешская Швейцария и немного Дрездена. Дрова
csp_shield_logo_cover.jpg
old-site, Работа, безопасность 6 сентября 2014

Введение в Content Security Policy (CSP)

Перевод статьи Майка Веста An Introduction to Content Security Policy от 15 июня 2012 года. Несмотря на то, что статье уже больше 2 лет, информация все еще актуальна и полезна. Об интересном опыте внедрения CSP в Яндексе можно почитать в этой статье.

Модель безопасности в вебе базируется на политике одинакового источника (same origin policy). Только код сайта https://mybank.com должен иметь доступ к данным https://mybank.com, а https://evil.example.com ни при каких условиях не должен получить такого доступа. Каждый источник остается изолированным от остального веба, что дает разработчикам безопасную песочницу, в которой можно разрабатывать и экспериментровать. Теоретически, это бриллиант без изъяна, но на практике, злоумышленники могут найти способы обойти эту систему.

Например, такие атаки как межсайтовый скриптинг (Cross-site scripting, XSS) позволяют обойти политику одного источника, обманным путем заставив сайт доставить вредоносный код вместе легитимным контентом. Это большая проблема, так как браузеры доверяют всему коду, который показывается на странице, так как он является частью страницы доставленной из доверенного источника. XSS Cheat Sheet — это старый, но весьма актуальный список методов, которые могут быть использованы злоумышленниками для внедрения зловредного кода. Если злоумышленнику успешно удается внедрить любой код в страницу, то игру можно считать оконченной: данные сессии пользователя становятся скомпроментированными и информация, которая должна оставаться в секрете, попадает в руки к Плохим Парням™. Мы, конечно же, хотим предотвратить такую возможность.

Этот туториал освящает один многообещающий механизм защиты, который может значительно снизить риск и вред от XSS-атак в современных браузерах — Content Security Policy (CSP).

Читать дальше ➠