Wiem, wiem, wiem... Zostanę oskarżony o stronniczość. Że już mod_security mi nie wystarcza, zmieniłem prace i w ogóle. Bez jaj ;-)
Ponad dwa miesiące temu Ryan Barnett opublikował sposób na dodanie takich atrybutów jak HttpOnly i Secure do ciasteczek, których autor aplikacji odpowiednio nie wzbogacił. Mod_security ma tą moc.
Na DevCentral znalazłem przepis jak zrobić to na F5: "Stop Those XSS Cookie Bandits iRule Style". Może nie byłoby w tym nic "złego" gdyby nie to, że programista powinien o to zadbać w aplikacji. Czuję odcisk ręki na buzi po tym jak ktoś właśnie wymierza mi policzek. Pytam: Za co? Bo chcę rozwiązać problem inną drogą niż przez developera? Bo czasami go nie mam? Bo czasami nie ma czasu? Bo ...? :-) Korzystajmy z tego co dała fabryka, a morały zostawmy sobie na potem.
Tak na zakończenie zadam pytanie: Czy te atrybuty rozwiązują wszystkie problemy związane m.in. z XSS'ami? *ZONK* !!! Nie. Minimalizują ryzyko m.in. kradzieży tożsamości użytkownika korzystającego z aplikacji webowej. Nic więcej. O tym co można zrobić z XSS'em napisał Michał, więc szkoda czasu by opisywać to na nowo.
Chociaż nie. Mam przykład, o którym nie wspomniał. Mając XSS'a na stronie można przełamać kilka metod zabezpieczeń przed atakami typu CSRF. Jakie można? Wszystkie?
Subskrybuj:
Komentarze do posta (Atom)
0 komentarze:
Prześlij komentarz