- 9,311
- 18
- 8 Ноя 2022
Компания вошла в число тех, кто борется с XSS-атаками – одними из самых распространённых в вебе.
Mozilla Для просмотра ссылки Войдиили Зарегистрируйся о планах внедрения технологии безопасности веба под названием Trusted Types в своем браузере Firefox . Этот шаг направлен на уменьшение риска атак, основанных на внедрении вредоносного кода. В Firefox заявили о позитивном отношении компании к технологии после тщательного анализа.
Для просмотра ссылки Войдиили Зарегистрируйся , впервые Для просмотра ссылки Войди или Зарегистрируйся в Chrome и Edge в мае 2020 года, предназначены для борьбы с XSS-атаками XSS (межсайтовый скриптинг), являющимися одними из наиболее опасных и распространенных в Интернете. Такие атаки, занимавшие первое место в рейтинге Для просмотра ссылки Войди или Зарегистрируйся , к 2021 году опустились на третью позицию, и предполагается, что их распространенность снизится благодаря внедрению Trusted Types.
Trusted Types — это технология безопасности веба, внедренная в стандарты браузеров для борьбы с уязвимостями межсайтового скриптинга (XSS), особенно связанными с Document Object Model (DOM). Она предоставляет API, который позволяет веб-приложениям ограничивать доступ к потенциально опасным DOM API, таким как innerHTML, outerHTML, document.write и другим, которые могут быть использованы для выполнения вредоносного кода.
Вместо прямой вставки строк, которые могут содержать вредоносный код, Trusted Types требует, чтобы данные обрабатывались через специальные объекты — «доверенные типы» (Trusted Types). Эти типы включают TrustedHTML, TrustedScriptURL, TrustedScript и другие, которые обеспечивают, что данные, передаваемые в опасные DOM API, были проверены и обработаны должным образом, чтобы предотвратить XSS-атаки.
Разработчики могут создавать эти «доверенные» типы с помощью специальных создателей, что позволяет им контролировать и фильтровать пользовательский ввод или любые данные, которые могут быть использованы для атаки. Trusted Types интегрируются с Политикой безопасности содержимого (CSP), позволяя администраторам сайта настраивать политики безопасности, которые могут обеспечивать применение правил Trusted Types на уровне всего сайта.
Google отмечает снижение риска DOM-XSS атак на своих сайтах благодаря внедрению Trusted Types. В 2018 году XSS-атаки составляли 30% всех уязвимостей в программе Bug Bounty, в то время как к 2023 году этот показатель снизился до 4,1%.
Компания Meta* также выразила поддержку технологии, отметив, что более широкое внедрение Trusted Types на веб-сайтах будет полезно для всей веб-платформы. В организации Open Source подчеркнули полезность Trusted Types после внедрения опции в веб-приложение, отметив, что технология помогает идентифицировать потенциальные точки для межсайтового скриптинга.
Несмотря на то, что Trusted Types пока поддерживается не всеми браузерами, разработчики веб-приложений должны адаптировать свой код для защиты от XSS-атак, так как ожидается, что Firefox, Safari и другие браузеры в конечном итоге включат эту технологию.
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
Mozilla Для просмотра ссылки Войди
Для просмотра ссылки Войди
Trusted Types — это технология безопасности веба, внедренная в стандарты браузеров для борьбы с уязвимостями межсайтового скриптинга (XSS), особенно связанными с Document Object Model (DOM). Она предоставляет API, который позволяет веб-приложениям ограничивать доступ к потенциально опасным DOM API, таким как innerHTML, outerHTML, document.write и другим, которые могут быть использованы для выполнения вредоносного кода.
Вместо прямой вставки строк, которые могут содержать вредоносный код, Trusted Types требует, чтобы данные обрабатывались через специальные объекты — «доверенные типы» (Trusted Types). Эти типы включают TrustedHTML, TrustedScriptURL, TrustedScript и другие, которые обеспечивают, что данные, передаваемые в опасные DOM API, были проверены и обработаны должным образом, чтобы предотвратить XSS-атаки.
Разработчики могут создавать эти «доверенные» типы с помощью специальных создателей, что позволяет им контролировать и фильтровать пользовательский ввод или любые данные, которые могут быть использованы для атаки. Trusted Types интегрируются с Политикой безопасности содержимого (CSP), позволяя администраторам сайта настраивать политики безопасности, которые могут обеспечивать применение правил Trusted Types на уровне всего сайта.
Google отмечает снижение риска DOM-XSS атак на своих сайтах благодаря внедрению Trusted Types. В 2018 году XSS-атаки составляли 30% всех уязвимостей в программе Bug Bounty, в то время как к 2023 году этот показатель снизился до 4,1%.
Компания Meta* также выразила поддержку технологии, отметив, что более широкое внедрение Trusted Types на веб-сайтах будет полезно для всей веб-платформы. В организации Open Source подчеркнули полезность Trusted Types после внедрения опции в веб-приложение, отметив, что технология помогает идентифицировать потенциальные точки для межсайтового скриптинга.
Несмотря на то, что Trusted Types пока поддерживается не всеми браузерами, разработчики веб-приложений должны адаптировать свой код для защиты от XSS-атак, так как ожидается, что Firefox, Safari и другие браузеры в конечном итоге включат эту технологию.
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
- Источник новости
- www.securitylab.ru
