Formularze HTML nadal niebezpieczne
Sandro Gauci z firmy EnableSecurity opublikował w 2002 roku raport na temat zagrożeń wynikających z przesyłania danych za pośrednictwem formularzy HTML. Teraz wydano zaktualizowaną wersję dokumentu. Wynika z niego, że ten element witryn WWW nadal stanowi poważne zagrożenie.
Zdaniem Gauciego w ciągu ostatnich lat twórcy przeglądarek niewiele zrobili, aby zwiększyć bezpieczeństwo pracy z formularzami. „Większość popularnych firewalli blokuje porty wykorzystywane podczas ataków za pośrednictwem aktywnych pól. Jednak hakerzy nauczyli się używać niestandardowych portów do kradzieży informacji czy przejęcia komputera” – napisał ekspert.
Najlepsze zabezpieczenia w tym zakresie oferują Safari i Mozilla Firefox, podczas gdy Opera oraz Internet Explorer są mniej skuteczne. Problem polega na tym, że większość przeglądarek jest zorientowana na jak najlepsze renderowanie kodu HTML, który otrzymuje – niezależnie od źródła jego pochodzenia. Wprowadzono wiele zabezpieczeń dotyczących transakcji HTTP klient-serwer. Znacznie mniej wysiłku włożono w poprawienie połączeń z maszynami niebazującymi na tym protokole (chodzi głównie o FTP i SMTP).
Przeglądarki nie rozróżniają jednak typów serwerów. Dopiero faktyczne wejście na FTP lub SMTP kończy się wyświetleniem komunikatu błędu. Do niego haker może dołączyć złośliwy kod i przeprowadzić atak typu XSS (cross-site scripting). To umożliwi kradzież danych przesyłanych za pośrednictwem formularza lub nawet przejęcie całkowitej kontroli nad komputerem.
Gauci jest przekonany, że twórcy przeglądarek powinni „nauczyć” swoje programy rozpoznawania poszczególnych typów serwerów – tak aby nie próbowały one renderować w HTML-u informacji otrzymywanych za pośrednictwem FTP czy SMTP.
źródło: DarkReading.com
Polecamy
Warto przeczytać
![[Aktualizacja] Anonimowi chcą „wyłączyć” Internet. Atak 31 marca, a plan ataku całkiem sprytny](/files/groups/editors/internet/2011_01/anonymous-80x60.jpg)
Reklama
Komentarze
Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka
(słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.
Popularne
Masz na swoim komputerze Debiana? Jego stworzenie kosztowało co najmniej 60 miliardów złotych
8
![[Aktualizacja] Anonimowi chcą „wyłączyć” Internet. Atak 31 marca, a plan ataku całkiem sprytny](/files/groups/editors/internet/2011_01/anonymous-30x22.jpg)
[Aktualizacja] Anonimowi chcą „wyłączyć” Internet. Atak 31 marca, a plan ataku całkiem sprytny
21
Universal Music zmuszony do wycofania albumu ze sprzedaży. Powód: nielegalne treści
10
Facebook zażąda wkrótce od Ciebie paszportu, dowodu osobistego albo aktu urodzenia
30
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1460
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
Zapisz się na internetowy, certyfikowany kurs elektroniki na MIT
13
MSWiA zamówiło narzędzia do „złamania” Tora i podsłuchiwania internautów. Czy złamało przy tym prawo?
89
-
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1460
-
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
Pobierałeś pirackie pliki? Uważaj! Kontrole antypirackie w domach użytkowników to codzienność
46
-
Masz na swoim komputerze Debiana? Jego stworzenie kosztowało co najmniej 60 miliardów złotych
8
„Donald matole, twój rząd dopadną kibole” – hakerska elita przyłącza się do walki z ACTA
23
-
[Aktualizacja] Anonimowi chcą „wyłączyć” Internet. Atak 31 marca, a plan ataku całkiem sprytny
21
Społeczność
Jigga Cały ten node.js to totalny nonsens. Nie ma żadnej przewagi nad ASP.NET...-
Tomek123 Polecam zajrzeć na http://firmadelaware.com/
jeżeli ktoś chce działać jako...
-
slawek22 Myślisz, że to użytkownicy Windy? No w sumie może i racja i polskim...
-
Cherneta Iurii Czy potrzebujesz kredytu? Oferujemy pożyczki z zakresu US $ 2500 USD t0 50...
-
Mor Sposób jest dobry, pod warunkiem, że mamy stałe IP. Niestety większość...
-
Mor @slawek22: mało wiesz o użytkownikach Linuksa. :P Jak dla mnie siejesz...
-
Scottie Nie mówiąc już o przeginaniu z "_blank" lub "_new" w znaczniku href. W...
- gardius: Dobra hurtownia sportowa (1)
- gardius: Tanie książki gdzie warto kupować? (1)
- Najdmen.pl: PROMOCJA, 500 DOMEN .EU ZA 1 PLN NETTO ! (1)
- VMLine: [Oferta] Serwery VPS Xen-HVM/OpenVZ z darmową administracją (2)
- Marek: Generowanie PDFa (2)
- Marek: problem z menu (2)
- Marek: Własne checkboxy w HTML,CSS (1)
Polecane książki
Praca
Czytaj Webhosting
Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.
Śledź nas: 
Zarejestruj domenę
Sprawdź dostępność swojej domeny:
| .pl: | 0 zł | .com: | 19.90 zł | |
|---|---|---|---|---|
| .com.pl: | 0 zł | .eu: | 19.90 zł |
#1 ktos 2009-02-22 14:51:29 0
IP: 83.31.142.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6
#2 ktos 2009-02-22 14:52:42 0
IP: 83.31.142.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.6) Gecko/2009011913 <script type="text/javascript">alert('aaaaaaaaaa');</script>