Formularze HTML nadal niebezpieczne
Sandro Gauci z firmy EnableSecurity opublikował w 2002 roku raport na temat zagrożeń wynikających z przesyłania danych za pośrednictwem formularzy HTML. Teraz wydano zaktualizowaną wersję dokumentu. Wynika z niego, że ten element witryn WWW nadal stanowi poważne zagrożenie.
Zdaniem Gauciego w ciągu ostatnich lat twórcy przeglądarek niewiele zrobili, aby zwiększyć bezpieczeństwo pracy z formularzami. „Większość popularnych firewalli blokuje porty wykorzystywane podczas ataków za pośrednictwem aktywnych pól. Jednak hakerzy nauczyli się używać niestandardowych portów do kradzieży informacji czy przejęcia komputera” – napisał ekspert.
Najlepsze zabezpieczenia w tym zakresie oferują Safari i Mozilla Firefox, podczas gdy Opera oraz Internet Explorer są mniej skuteczne. Problem polega na tym, że większość przeglądarek jest zorientowana na jak najlepsze renderowanie kodu HTML, który otrzymuje – niezależnie od źródła jego pochodzenia. Wprowadzono wiele zabezpieczeń dotyczących transakcji HTTP klient-serwer. Znacznie mniej wysiłku włożono w poprawienie połączeń z maszynami niebazującymi na tym protokole (chodzi głównie o FTP i SMTP).
Przeglądarki nie rozróżniają jednak typów serwerów. Dopiero faktyczne wejście na FTP lub SMTP kończy się wyświetleniem komunikatu błędu. Do niego haker może dołączyć złośliwy kod i przeprowadzić atak typu XSS (cross-site scripting). To umożliwi kradzież danych przesyłanych za pośrednictwem formularza lub nawet przejęcie całkowitej kontroli nad komputerem.
Gauci jest przekonany, że twórcy przeglądarek powinni „nauczyć” swoje programy rozpoznawania poszczególnych typów serwerów – tak aby nie próbowały one renderować w HTML-u informacji otrzymywanych za pośrednictwem FTP czy SMTP.
źródło: DarkReading.com
Warto przeczytać
Komentarze
Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka
(słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.
Popularne
Nazwa padła ofiarą szantażystów, inni polscy hosterzy też zagrożeni?
22
Darmowy Internet od Aero2. Jak go zdobyć i jakie są prawdziwe koszta? Instrukcja krok po kroku
11
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
17
Premiera Diablo 3 wzbudziła dyskusję na temat gier, które zawsze chcą być online
19
Nowy problem z Windows 8: bootuje się za szybko
10
Amerykańscy rodzice straszeni „e-narkotykami” dostępnymi w Sieci
21
Anonymous upubliczniają 1,7 GB danych wykradzionych Departamentowi Sprawiedliwości USA
11
Blueseed: libertariańska sztuczna wyspa przyciągnęła już ponad sto startupów z całego świata
8
Rewolucja w Firefoksie, nowa łatka czterokrotnie ograniczyła zużycie pamięci
20
-
Darmowy Internet od Aero2. Jak go zdobyć i jakie są prawdziwe koszta? Instrukcja krok po kroku
11
CVDazzle: makijaż jest w stanie pokonać automatyczne systemy ulicznego monitoringu
3
-
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
17
Ubuntu 12.04 LTS już dostępny: stabilna dystrybucja na następne pięć lat?
28
Zostań webmasterem polskiego rządu, zarobisz na komfortowe życie dla siebie i swojej rodziny
33
Społeczność
Dave Smith Jestem Pastor Dave Smith prywatny pożyczkodawca pieniądze, z czego ponad...-
marcusm Fajna reklama produktu za 500 zł
-
rza a to starsze aplikacje nie będą działać i kompilacja pod Windows SDK 7.1...
-
Krzaczor @Jakub Szymański: Możesz zalinkować do opisów jakichś polskich przypadków...
-
Krzaczor Ale oprogramowanie skompilowane dla Windows 7 ruszy przecież na ósemce...
-
ankaa Ja to czytam "plejsnow", a nie placek nał :) Nie wiem, co macie z tym...
-
veramird Są jeszcze studenci i msdaa co pozwoli dużej grupie używać pisać dalej za...
- Najdmen.pl: Konta www z wyłączonym licznikiem transferu od IONIC.pl (1)
- 2BE.PL: [Oferta] Promocja jak złoto w 2BE.PL (1)
- gardius: Dobra hurtownia sportowa (1)
- gardius: Tanie książki gdzie warto kupować? (1)
- Najdmen.pl: PROMOCJA, 500 DOMEN .EU ZA 1 PLN NETTO ! (1)
- VMLine: [Oferta] Serwery VPS Xen-HVM/OpenVZ z darmową administracją (2)
- Marek: Generowanie PDFa (2)
Polecane książki
Praca
Czytaj Webhosting
Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.
Śledź nas: 
Zarejestruj domenę
Sprawdź dostępność swojej domeny:
| .pl: | 0 zł | .com: | 19.90 zł | |
|---|---|---|---|---|
| .com.pl: | 0 zł | .eu: | 19.90 zł |
#1 ktos 2009-02-22 14:51:29 0
IP: 83.31.142.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6
#2 ktos 2009-02-22 14:52:42 0
IP: 83.31.142.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.6) Gecko/2009011913 <script type="text/javascript">alert('aaaaaaaaaa');</script>