Реклама
Статистика
Последние новости
- Конференция в РАНХиГСе
- 250 ящиков, включая 13 больших контейнеров...
- Microsoft обновила перечень процессоров, поддерживаемых Windows 11. Список пополнился 42 новыми CPU
- Microsoft разобралась: внезапно переименованные принтеры в Windows 10 и Windows 11 теперь можно переименовать обратно
- Microsoft исправила давний сбой «Проводника» .....
- Неужели Windows-ПК с Arm действительно будут на уровне MacBook? SoC Snapdragon X Elite на 21% быстрее Apple M3
- Таких видеокарт мы не видели более десятка лет. MSI представила GeForce RTX 4060 Cyclone 8G OC с кулером из прошлого
- В Москве запустили серийное производство материнских плат. Они изначально созданы под отечественные процессоры
- Чтобы не поймали с поличным: в геймерском браузере Opera появилась «паническая кнопка»
- Первый ИИ-ноутбук Lenovo будет очень тихим, но не всегда. Подробности о Xiaoxin Pro AI Ultrabook 2024
Последние видеообзоры
- Обзор ноутбука для школьника Lenovo ideapad S145-15IWL (81MV00HKRK)
- Обзор ноутбука Lenovo L340-15IWL (81LG00MSRK)
- Обзор роутера Mikrotik Hap Mini
- Обзор точки доступа Mikrotik cAP ac
- Отличия серверных жестких дисков от десктопных моделей
- Точка доступа WiFi на базе материнской платы Mikrotik RB911G-2HPnD
- Обзор розетки Smart Socket EU Mini, управляемой по Wifi
- Тестирование петличных микрофонов Audio-Technika ATR-3350 и BOYA BY-WM4
- Определение петель коммутации и борьба с ними
- Бюджетная защита различных технических устройств от перепадов напряжения в сети
Последные советы
- Услуга - настройка Mikrotik
- Услуга IP - телефония
- Облачное видеонаблюдения за 100 рублей
- Виртуальная АТС во Владимире
- Использование IP-телефонии для дома
- Почему важно вовремя чистить компьютер?
- Установка Windows
- Облачное видеонаблюдение. Для кого и зачем?!
- Об энергопотреблении современного персонального компьютера
- Ремонт типичных неисправностей в ноутбуке
Последние новости
- Конференция в РАНХиГСе
- 250 ящиков, включая 13 больших контейнеров...
- Microsoft обновила перечень процессоров, поддерживаемых Windows 11. Список пополнился 42 новыми CPU
- Microsoft разобралась: внезапно переименованные принтеры в Windows 10 и Windows 11 теперь можно переименовать обратно
- Microsoft исправила давний сбой «Проводника» .....
Механизм, защищающий браузер Edge от XSS-атак, работает некорректно
Аналитик компании PortSwigger, Гарет Хейес (Gareth Heyes) обнаружил, что механизм, призванный защищать браузер Microsoft Edge от XSS-атак, не работает по неизвестным причинам.
В своей публикации, посвященной проблеме, специалист называет эту функциональность просто XSS Filter, но она также известна под именем X-XSS-Protection, так как владельцы сайтов конфигурируют для сервера HTTP-хэдер X-XSS-Protection. Этот защитный механизм был создан еще в 2008 году и сначала был интегрирован в Internet Explorer 8, а уже позже был адаптирован и для Edge.
В теории XSS Filter работает просто: браузер загружает с сайта страницу и ищет вышеупомянутый хэдер, значение которого должно выглядеть следующим образом:
- X-XSS-Protection: 0 (отключает XSS Filter);
- X-XSS-Protection: 1 (XSS Filter работает, очищает код страницы и исключает последовательности, специфичные для XSS-атак);
- X-XSS-Protection: 1; mode=block (блокирует рендеринг любого контента, если обнаруживает на странице специфичные для XSS паттерны).
С самого релиза браузер Edge использует по умолчанию второй из перечисленных вариантов, то есть очищает код страниц в ходе загрузки, и неважно, какое значение установлено в X-XSS-Protection.
Однако Хейес обнаружил, что на прошлой неделе что-то изменились и, хуже того, сломалось. Исследователь пишет, что теперь XSS Filter отключен по умолчанию по неким неизвестным причинам, и даже если попытаться активировать его через X-XSS-Protection: 1, он все равно останется в неработающем состоянии. Единственный способ активации защитного механизма, это самый жесткий из трех режимов работы — X-XSS-Protection: 1; mode=block, которого большинство владельцев сайтов стараются избегать, так как тогда Edge может блокировать загрузку сайта вовсе.
Так как в Internet Explorer защитный механизм по-прежнему функционирует как должно, исследователь полагает, что неожиданное отключение XSS Filter в Edge – это банальный баг. Но представители Microsoft отказались как-либо комментировать находку Хейеса, поэтому есть шанс, что отказ от XSS Filter все же был запланирован. Здесь стоит отметить, что обход защитной функциональности не раз демонстрировали ИБ-специалисты (1, 2, 3), а владельцы сайтов с завидной регулярностью неверно понимают принципы работы XSS Filter и настраивают его неверно. В итоге защитная функциональность довольно редко используется «в полную силу».
Популярные видеобзоры
Обзор роутера Mikrotik RB2011iLS-IN
Роутер латвийской компании Микротик, роутеры данной компании мастерская Тардис использует уже довольно давно при настройке Wi-Fi сетей, как в офисах, кафе, и других местах общественного пользования, так и в домашних условиях.
Здесь присутствуют 10 ethernet интерфейсов, (1Гб/с - 5 шт. и 100Мб/с - 5 шт.) и мастерская Тардис характеризует его как раз как маршрутизатор для домашнего пользования, настроить и слепить из него можно почти все что может быть необходимо продвинутому пользователю.
Подробнее...Обзор мышки Defender Warhead GMX 1800 Black Blue USB
Коротко
Обзор на мышь Defender GMX 1800 включает в себя распаковку и просмотр основных характеристик.
Мышь Defender GMX 1800 имеет характеристики:
Подробнее...