|
|
|||||||||||||||||||||||||||||
|
Статистическое подтверждение XSS-фильтра IE8Источник: thevista
Приветствую, меня зовут Русс МакРии (Russ McRee) и я являюсь сотрудником команды Online Services Security & Compliance Incident Management. Моя команда обслуживает обработчики случаев разных типов атак, с которыми сталкиваются наши сервисы. Первые строчки в этом списке занимают атаки с использованием межсайтового скриптинга. Бытует мнение, что XSS-атаки менее эффективны, чем остальные типы атак, поэтому реализуются они чаще теорически, нежели практически. И я считаю, что данное предубеждение только увеличивает степень риска, которым подвергаются интернет пользователи. Я хотел бы поделиться с вами кое-какой информацией, показывающей, почему я считаю внедрение XSS-фильтра в Internet Explorer настолько существенным. Web Application Security Consortium (WASC) недавно опубликовл результаты исследования Web Application Security Statistics Project 2007. Данные, представленные в данном отчете, являются дополнением к статистике, которую я приводил в статье The Anatomy of an XSS Attack в журнале ISSA Journal от июня 2008 года. Некоторые выдержки из исследования WASC:
Дополнительная статистика:
Статистика всегда может быть использована для того, чтобы доказать свою точку зрения, но сами понимаете, что более важны действия, которые принимаются для решения проблемы. Так как количество XSS-уязвимостей растет в геометрической прогрессии, то XSS-фильтр в IE8, призванный защитить пользователей от этого типа атак, является отличным решением. Дэвид Росс (David Ross), инженер по безопасности программного обеспечения в команде SWI, разработал инструмент, который обнаруживает вероятные XSS-атаки в межсайтовых запросах, идентифицирует и нейтрализует атаку, если она совершается в ответ на запрос сервера. Пользователю не задаются вопросы, на которые он не может ответить - IE просто блокирует вредоносный скрипт от исполнения. Проще говоря, XSS-фильтр в IE8 призван обеспечить глубокую защиту путем автоматического обнаружения и предотвращения наиболее распространенных XSS-атак, с которыми пользователи сталкиваются на просторах Интернета, без потери производительности или совместимости. Если обращаться к статистике, которая приведена выше, то это 70% возможных угроз, с которыми могут столкнуться пользователи IE8, и предотвращены XSS Filter. Я действительно возбужден той работой, которую делают команды Internet Explorer и SWI, чтобы предоставить новый уровень безопасности для пользователей. Русс МакРии (Russ McRee), Ссылки по теме
|
|