|
|
||||||||||||||||||||||||
08-22-2008, 07:53 PM
|
#1 (permalink) |
  
تاریخ عضویت: Jan 2008
نوشته ها: 2,034
اعتبار: 982,375
تشکر از دیگران : 1,257
از ایشان 841 بار در 622 پست تشکر شده
|
ابزار جدید ie8 برای مقابله با حملات تزریق کد
مهندسين بخش اينترنت اکسپلورر شرکت مايکروسافت متد جديدي براي مشخص سازي يکي از بزرگترين تهديدات امنيتي اينترنت به نام XSS طراحي کرده اند.  در حملات کراس سايت اسکريپتينگ XSS)) يا «حملات تزريق کد» - همان گونه که از نام آن برمي آيد – هکرها با تزريق کد به سايت هاي معتبر و قانوني، به اهداف خود دست مي يابند. سرقت ايميل ها، اعتبارات بانکي و ديگر اطلاعات مهم کاربران، از جمله اين اهداف نامشروع به شمار مي رود. گفتني است تا کنون تعدادي از برجسته ترين نام هاي اينترنتي از قبيل گوگل، ياهو و MySpace، قرباني حملات XSS شده اند. علاوه بر اين ثابت شده که ده ها هزار سايت ديگر از جمله بانک ها و شرکت هاي ارائه کننده خدمات پزشکي و سلامتي نيز در معرض هجوم اين حملات قرار دارند. به گزارش The Register در چند سال اخير کاربران فايرفاکس اين امکان را يافته اند که با نصب پلاگيني به نام NoScript خود را تا حدودي در برابر اين حملات بيمه کنند ولي در حال حاضر IE (به عنوان محبوب ترين مرورگر) فاقد چنين شيوه دفاعي است. البته ناگفته نماند که پلاگينNoScript يک ابزار مفيد ولي «ناکافي» در اين خصوص به شمار مي رود. مايکروسافت ماه گذشته اعلام کرد فيلتر جديدي براي مواجهه با XSS طراحي کرده که در مرورگر IE8 گنجانده خواهد شد. اين شرکت هفته گذشته جزئيات بيشتري در خصوص اين طرح منتشر ساخت. «ديويد راس» يکي از کارشناسان امنيتي مايکروسافت عقيده دارد مقابله با حملات تزريق کد به گونه اي که پاسخگوي «سازگاري، امنيت و کارآيي» باشد، يک چالش به شمار مي رود. اين فيلتر به منظور جلوگيري از بروز اختلال در کارآيي مناسب رايانه، فقط بر آن دسته از صفحات اينترنتي که اسکريپت اجرا مي کنند، تمرکز مي نمايد و بر اين اساس در اين پروسه آبجکت هايي نظير تصاوير که فاقد اسکريپت هستند، کنار گذاشته مي شوند. ضمناً فيلتر، کد سايت هايي را که کاربر در حال مشاهده و مرور آنهاست، مجاز تلقي مي کند. همچنين بسته به تشخيص مديران، مي توان فيلتر يادشده را براي بخش هاي خاصي غيرفعال کرد. شيوه کار به اين صورت است که وقتي فيلتر با اسکريپت جديدي مواجه مي شود، يک موتور اکتشافي به کار مي افتد و اقدام به وارسي URL و اطلاعات POST صفحه درخواستي نموده و آن را با آسيب پذيري هاي XSS موجود قياس مي کند. فيلتر، URL را بر اساس کارکترهاي مشکوک از قبيل script tag ها امتيازدهي مي کند و اگر با چنين کارکترهايي برخورد نمود، پروسه جديدي را آغاز مي کند و طي آن کد HTTP را بررسي نموده و يک signature مي سازد. signature ها با HTTP response قياس مي شود و اسکريپت هاي آلوده، شناسايي مي گردد. در اين حالت به جاي اجراي کد، IE پيامي به نمايش مي گذارد و به کاربر گوشزد مي کند که صفحه مزبور به دليل احتمال بروز حمله XSS، برچسب خورده است. کارشناسان مايکروسافت تلاش قابل توجهي صرف اين موضوع کرده اند که فيلتر XSS به گونه اي نباشد که از طريق کند کردن سرعت مرورگر يا تشخيص غلط حمله (false positive) باعث اختلال در مرور اينترنت شود. همچنين احتمال بلوکه کردن سايت هاي معتبر و قانوني، و نيز گشودن دروازه حملات جديد به روي کاربران از جمله مواردي است که بايد در اين خصوص مورد بررسي و مداقه قرار گيرد. گفتني است اعلام خبر اين فيلتر و نحوه کارکرد آن، با انتقاد سريع گروه هايي از کارشناسان امنيتي مواجه شده که جيورجيو ماوي (Giorgio Maone) طراح NoScript از آن جمله است. |
|
|
| تبلیغات | |
|
|
 |
| کاربران در حال دیدن موضوع: 1 نفر (0 عضو و 1 مهمان) | |
| ابزارهای موضوع | |
| نحوه نمایش | |
|
|
موضوعات مشابه
|
||||
| موضوع | نویسنده موضوع | انجمن | پاسخ ها | آخرين نوشته |
| فکرتان را تغییر دهید تا همه چیز تغییر کند | X-Man | پزشکی - Health | 0 | 08-05-2008 11:50 AM |
| ابزار جدید Facebook برای مقابله برنامهنویسان با برنامهنویسان! | Loner_62 | اخبار اینترنت - Internet & IT News | 0 | 07-26-2008 09:06 PM |
| گفت و گوی محمد قوچانی و امیر قادری با ابراهیم حاتمیکیا | Hvarira | سینما و تاتر - Cinema & Drama | 0 | 04-22-2008 11:57 AM |
| رقم قرارداد ستارگان ورزش در سال86 | reza | ورزشی - Sport | 0 | 03-31-2008 05:20 PM |
| 10 ابزار رایگان برای زندگی شیرین تر در کنار ویندوز | IN$PIRE | نرم افزار - SoftWare | 0 | 03-16-2008 02:03 PM |
حالت خطی
