Политика безопасности браузера

Образование | Настройки безопасности браузеров

Подпишись
на рассылку

Лучшие публикации Теплицы, доставленные на твой email

Подпишись
на Теплицу(Pro)

Не пропусти лучшие новости для экспертов в области IT, активистов, дизайнеров

Подпишись
в Фейсбуке

Не пропусти лучшие публикации Теплицы, руководства, анонсы мероприятий

Подпишись
ВКонтакте

Не пропусти лучшие публикации Теплицы, руководства, анонсы мероприятий

Подпишись
в Телеграм

Не пропусти лучшие публикации Теплицы, руководства, анонсы мероприятий

Подпишись
на YouTube

Не пропусти видео-уроки, скринкасты, записи вебинаров и мероприятий

Теп­ли­ца соци­аль­ных тех­но­ло­гий

Всего материалов: 118

Настройки безопасности браузеров

Дела­ем Google Chrome и Mozilla Firefox без­опас­нее «штат­ны­ми сред­ства­ми». Веб-бра­у­зер – едва ли не самый рас­про­стра­нен­ный рабо­чий инстру­мент. Люди листа­ют стра­ни­цы сай­тов, отве­ча­ют на пись­ма, захо­дят в онлай­но­вые мага­зи­ны, ска­чи­ва­ют фай­лы и часто не заду­мы­ва­ют­ся: ведь все это вре­мя они поль­зу­ют­ся одной и той же про­грам­мой. Доста­точ­но ли она без­опас­на? Хоро­ши ли настрой­ки по умол­ча­нию? Может, есть смысл что-нибудь изме­нить?

Ста­тья под­го­тов­ле­на про­ек­том safe.rublacklist.net. На сай­те Теп­ли­цы раз­ме­ще­на по лицен­зии CC BY 4.0. Про­ект SAFE – сбор­ник мате­ри­а­лов по циф­ро­вой без­опас­но­сти. «Рос­ком­сво­бо­да» рас­ска­зы­ва­ет о прак­ти­ках и инстру­мен­тах для защи­ты дан­ных и ком­му­ни­ка­ций.

В этой ста­тье мы пого­во­рим о попу­ляр­ных кросс-плат­фор­мен­ных бра­у­зе­рах Google Chrome и Mozilla Firefox.

Будем счи­тать, что вы зна­ко­мы с бра­у­зе­ром хотя бы в общих чер­тах, и обра­тим все вни­ма­ние на спе­ци­фи­че­ские настрой­ки.

Обновления

Уста­нав­ли­вать обнов­ле­ния – общее пра­ви­ло для всех про­грамм, и бра­у­зе­ры не исклю­че­ние. С помо­щью обнов­ле­ний раз­ра­бот­чик не толь­ко дела­ет про­грам­му функ­ци­о­наль­нее, но и лик­ви­ди­ру­ет уяз­ви­мо­сти и исправ­ля­ет ошиб­ки. Общая реко­мен­да­ция: не пре­пят­ствуй­те бра­у­зе­ру в уста­нов­ке обнов­ле­ний.

Начальная страница

Удоб­но, когда бра­у­зер при запус­ке пока­зы­ва­ет часто исполь­зу­е­мую веб-стра­ни­цу (напри­мер, новост­ную лен­ту) или под­бор­ку недав­но (часто) откры­тых стра­ниц, но это не луч­шая идея с точ­ки зре­ния обес­пе­че­ния без­опас­но­сти. Не давай­те бра­у­зе­ру запо­ми­нать эти дан­ные, и тогда их не уви­дит слу­чай­ный чело­век.

• Chrome: меню «Настрой­ки» – раз­дел «При запус­ке откры­вать» – убе­ди­тесь, что выбра­но зна­че­ние «Новую вклад­ку».
• Firefox: меню «Настрой­ки» – (сле­ва) меню «Основ­ные» – раз­дел «При запус­ке Firefox» – выбе­ри­те «Пока­зать пустую стра­ни­цу» или «Пока­зать домаш­нюю стра­ни­цу» (в послед­нем слу­чае убе­ди­тесь, что в поле «Домаш­няя стра­ни­ца» (чуть ниже) ука­за­но что-либо не иден­ти­фи­ци­ру­ю­щее ваши инте­ре­сы и дела (напри­мер, вари­ант по умол­ча­нию «Началь­ная стра­ни­ца Mozilla Firefox»).

Пароли

По умол­ча­нию в обо­их бра­у­зе­рах вклю­че­на функ­ция сохра­не­ния паро­лей. Мно­гие поль­зо­ва­те­ли не обра­ща­ют на это вни­ма­ние, и если бра­у­зер пред­ла­га­ет сохра­нить пароль, маши­наль­но согла­ша­ют­ся.

Таким обра­зом, бра­у­зер ста­но­вит­ся хра­ни­ли­щем само­го цен­но­го, что может быть у актив­но­го поль­зо­ва­те­ля сети: паро­лей к раз­ным акка­ун­там. Да, в Firefox есть функ­ция «мастер-пароль», кото­рая поз­во­ля­ет с помо­щью одно­го паро­ля зашиф­ро­вать все осталь­ные.

Но по умол­ча­нию она выклю­че­на, и опыт пока­зы­ва­ет, что поль­зу­ют­ся ею неча­сто. Кро­ме того, сохра­нен­ные в бра­у­зе­ре паро­ли не будут авто­ма­ти­че­ски добав­ле­ны, напри­мер, в дру­гой бра­у­зер, кото­рым вы поль­зу­е­тесь на том же устрой­стве.

Сове­ту­ем исполь­зо­вать для хра­не­ния паро­лей надеж­ное зашиф­ро­ван­ное хра­ни­ли­ще, мене­джер паро­лей (напри­мер, KeePassXС).

• Chrome: меню «Настрой­ки» – (в самом низу) ссыл­ка «Допол­ни­тель­ные» – раз­дел «Паро­ли и фор­мы» – пункт «Настро­ить» – пере­двинь­те пер­вый рыча­жок вле­во (в поло­же­ние «Выкл»).
• Firefox: меню «Настрой­ки» – (сле­ва) меню «При­ват­ность и Защи­та» – раз­дел «Фор­мы и паро­ли» – сни­ми­те галоч­ку в поле «Запо­ми­нать логи­ны и паро­ли для веб-сай­тов».

Не забудь­те загля­нуть в спи­сок уже сохра­нен­ных паро­лей, и если тако­вые обна­ру­жат­ся – пере­не­сти их в защи­щен­ную базу, а из бра­у­зе­ров уда­лить. Для Google Chrome это мож­но сде­лать в том же окне, где рыча­жок «Выкл» (см. выше), для Mozilla Firefox нуж­но нажать кноп­ку «Сохра­нен­ные логи­ны».

Отслеживание

Мно­гие веб-сай­ты соби­ра­ют дан­ные о вас. Они поз­во­ля­ют тре­тьим сто­ро­нам отсле­жи­вать, какие сай­ты вы посе­ща­е­те. Совре­мен­ные бра­у­зе­ры поз­во­ля­ют вклю­чать в запро­сы уве­дом­ле­ние о том, что вы воз­ра­жа­е­те про­тив тако­го отсле­жи­ва­ния.

У каж­до­го сай­та своя поли­ти­ка, и нет гаран­тий, что ваша прось­ба будет испол­не­на «как есть», но вклю­че­ние этой функ­ции может несколь­ко умень­шить актив­ность по сбо­ру дан­ных.

• Chrome: меню «Настрой­ки» – (в самом низу) ссыл­ка «Допол­ни­тель­ные» – раз­дел «Кон­фи­ден­ци­аль­ность и без­опас­ность» – вклю­чи­те рыжа­чок в поле «Отправ­лять запрет на отсле­жи­ва­ние с исхо­дя­щим тра­фи­ком» и нажми­те во всплы­ва­ю­щем окне синюю кноп­ку «Под­твер­дить».
• Firefox: меню «Настрой­ки» – пункт «При­ват­ность и Защи­та» – най­ди­те пункт «Пере­да­вать сай­там сиг­нал “Не отсле­жи­вать”, озна­ча­ю­щий, что вы не хоти­те быть отсле­жи­ва­е­мы­ми» – выбе­ри­те пункт «Все­гда».

В Firefox мож­но так­же забло­ки­ро­вать т.н. тре­ке­ры, малень­кие эле­мен­ты, исполь­зу­е­мые веб-сай­та­ми для отсле­жи­ва­ния ваше­го пове­де­ния на стра­ни­цах. Для это­го в том же раз­де­ле настро­ек (чуть выше) в пози­ции «Исполь­зо­вать защи­ту от отсле­жи­ва­ния для бло­ки­ров­ки извест­ных тре­ке­ров» уста­но­ви­те зна­че­ние «Все­гда».

Синхронизация

Эта функ­ция поз­во­ля­ет под­дер­жи­вать акту­аль­ность всех ваших настро­ек и сохра­нен­ных дан­ных, если вы рабо­та­е­те на раз­ных устрой­ствах. Удоб­но, одна­ко из сооб­ра­же­ний без­опас­но­сти мы бы сове­то­ва­ли син­хро­ни­за­цию отклю­чить. Убе­дить­ся, что син­хро­ни­за­ция отклю­че­на, мож­но:

• Chrome: меню «Настрой­ки» – в самом вер­ху;
• Firefox: меню «Настрой­ки» – пункт «Акка­унт Firefox».

Удаление сохраненных данных

Исто­рия (жур­нал) посе­щен­ных стра­ниц – удоб­ный инстру­мент, в кото­ром мож­но, напри­мер, най­ти сайт, посе­щен­ный пару дней назад. Но с точ­ки зре­ния без­опас­но­сти исто­рия – гото­вый ката­лог ваших пред­по­чте­ний, инте­ре­сов и сла­бо­стей. Это деталь­ная кол­лек­ция сле­дов, остав­лен­ных вами в Интер­не­те. Если устрой­ство попа­дет в руки зло­умыш­лен­ни­ка, он смо­жет извлечь из этой кол­лек­ции цен­ный мате­ри­ал.

Поми­мо исто­рии, есть нема­ло дру­гих дан­ных, кото­рые сохра­ня­ет бра­у­зер.

Некоторые данные, сохраняемые браузером

• Исто­рия загру­зок. Какие фай­лы вы загру­жа­ли из Интер­не­та и куда их сохра­ня­ли.
• Исто­рия поис­ка. Инфор­ма­ция о ваших поис­ко­вых запро­сах.
• Дан­ные форм. Инфор­ма­ция, кото­рую вы вво­ди­те в онлай­но­вые фор­мы (напри­мер, имя – при реги­стра­ции на каком-либо сай­те).
• Куки-фай­лы (cookies). Малень­кие тек­сто­вые фай­лы, кото­рые бра­у­зер запи­сы­ва­ет на ваш ком­пью­тер. Могут содер­жать раз­но­об­раз­ную инфор­ма­цию о посе­щен­ных вами сай­тах.
• Кеш. Сохра­нен­ные изоб­ра­же­ния (и дру­гие дан­ные) с веб-сай­тов.

Мож­но быст­ро очи­стить исто­рию вруч­ную, выбрав типы дан­ных для уда­ле­ния и вре­мен­ной про­ме­жу­ток (напри­мер, за час, за день и т.д.).

• Chrome: меню «Допол­ни­тель­ные инстру­мен­ты» – пункт «Уда­ле­ние дан­ных о про­смот­рен­ных стра­ни­цах». Появит­ся всплы­ва­ю­щее окно «Очи­стить исто­рию».
• Firefox: меню «Биб­лио­те­ка» – «Жур­нал» – пункт «Уда­лить исто­рию». Появит­ся всплы­ва­ю­щее окно «Уда­ле­ние недав­ней исто­рии».

Для бра­у­зе­ра Firefox, создан­но­го «с при­це­лом» на при­ват­ность, доступ­ны гиб­кие настрой­ки «что и как сохра­нять». Вы може­те уви­деть их в меню «Настрой­ки» – пункт «При­ват­ность и Защи­та».

Доступ­ны раз­ные вари­ан­ты. Если вы настро­е­ны реши­тель­но и хоти­те обес­пе­чить наи­луч­шую при­ват­ность рабо­ты в бра­у­зе­ре, попро­буй­те отклю­чить сохра­не­ние дан­ных. Для это­го в раз­де­ле «Исто­рия» выбе­ри­те «Не будет запо­ми­нать исто­рию» (пона­до­бит­ся пере­за­пу­стить бра­у­зер).

Впро­чем, вы може­те выбрать свою ком­би­на­цию настро­ек (вари­ант «Будет исполь­зо­вать ваши настрой­ки хра­не­ния исто­рии»), напри­мер, с очист­кой исто­рии посе­щен­ных стра­ниц и уда­ле­ни­ем куки-фай­лов при закры­тии бра­у­зе­ра.

Уда­ле­ние сохра­нен­ных дан­ных (как для Chrome, так и для Firefox) воз­мож­но так­же с помо­щью спе­ци­аль­ных программ-«чистильщиков» вро­де CCleaner.

Разрешения

Доволь­но часто веб-сай­ты про­сят раз­ре­ше­ние, напри­мер, на доступ к дан­ным место­по­ло­же­ния (гео­на­ви­га­ци­он­ные про­грам­мы, тури­сти­че­ские путе­во­ди­те­ли, интер­нет-мага­зи­ны с достав­кой това­ров на дом и др.), доступ к мик­ро­фо­ну и/или каме­ре (чаты, мес­сен­дже­ры и др.), воз­мож­ность пока­зы­вать вам push-уве­дом­ле­ния (новост­ные сай­ты, раз­вле­ка­тель­ные пор­та­лы и др.).

Ино­гда это спо­соб­но при­не­сти вам поль­зу, ино­гда лишь поз­во­ля­ет вла­дель­цам сай­тов соби­рать допол­ни­тель­ные дан­ные о вас или надо­едать вам всплы­ва­ю­щи­ми окош­ка­ми. Мож­но настро­ить ваши пред­по­чте­ния (и заод­но посмот­реть, каким сай­там вы уже дали раз­ные раз­ре­ше­ния).

• Chrome: «Настрой­ки» – (в самом низу) ссыл­ка «Допол­ни­тель­ные» – раз­дел «Кон­фи­ден­ци­аль­ность и без­опас­ность» – пункт «Настрой­ки кон­тен­та».
• Firefox: «Настрой­ки» – (сле­ва) «При­ват­ность и Защи­та» – раз­дел «Раз­ре­ше­ния».

Приватный режим

Во вре­мя рабо­ты, не изме­няя обыч­ные настрой­ки бра­у­зе­ра, мож­но вос­поль­зо­вать­ся спе­ци­аль­ным режи­мом про­смот­ра веб-сай­тов, при кото­ром бра­у­зер не будет соби­рать дан­ные (куки-фай­лы, паро­ли и т.д.).

В Google Chrome это назы­ва­ет­ся «режим инког­ни­то», в Mozilla Firefox – «при­ват­ное окно». Внешне этот режим мало чем отли­ча­ет­ся от обыч­но­го окна или вклад­ки.

• Chrome: «Новое окно в режи­ме инког­ни­то» (или соче­та­ние кла­виш Ctrl+Shift+N).
• Firefox: «Новое при­ват­ное окно» (или соче­та­ние кла­виш Ctrl+Shift+P).

Не забы­вай­те, что при­ват­ный режим не вли­я­ет на сохра­не­ние загру­зок и закла­док.

Портативная версия

Боль­шин­ство из вас навер­ня­ка поль­зу­ет­ся обыч­ной вер­си­ей бра­у­зе­ра, уста­нов­лен­ной в систе­ме. Пор­та­тив­ная вер­сия име­ет пре­иму­ще­ства.

• Вы може­те носить бра­у­зер с собой на флеш­ке, исполь­зо­вать его на рабо­те, дома, в коман­ди­ров­ке. Все ваши настрой­ки и заклад­ки сохра­нят­ся.
• Если вы осво­и­те азы шиф­ро­ва­ния, то смо­же­те хра­нить бра­у­зер в зашиф­ро­ван­ном кон­тей­не­ре или на зашиф­ро­ван­ном дис­ке. Это надеж­но защи­тит упо­мя­ну­тые выше настрой­ки от чужих глаз. Вы смо­же­те пере­стать бес­по­ко­ить­ся о тех дан­ных, кото­рые не защи­тить стан­дарт­ны­ми настрой­ка­ми бра­у­зе­ра (напри­мер, заклад­ки).

Пор­та­тив­ные вер­сии бра­у­зе­ров мож­но ска­чать, напри­мер, с извест­но­го сай­та PortableApps:

Мно­гие функ­ции обес­пе­че­ния без­опас­но­сти отсут­ству­ют в бра­у­зе­рах по умол­ча­нию, но их мож­но полу­чить с помо­щью дополнений/расширений. О том, как это сде­лать, будет рас­ска­за­но в отдель­ной ста­тье.

Обеспечение безопасности современными браузерами

Данная заметка посвящена вопросу работы браузеров и обеспечения ими безопасности при обработке локальных html файлов. Оказывается, сообщения “Использовать этот браузер по умолчанию?”, успевшие всем поднадоесть, являются очень полезными, так как от выбора основного браузера будет зависеть безопасность работы с локальными html страницами. Конечно, это не относится к SEO или маркетингу, тем не менее, возможно, эта информация будет вам интересна.

Основой модели обеспечения безопасности в браузерах является политика безопасности Same-Origin Policy (дословно, политика одного источника), которая защищает web-сайты друг от друга. Например, эта политика безопасности не допустит новостному сайту читать контент из вашей почты на Gmail аккаунте (даже если вы открыли оба сайта в одно и то же время). Однако, что если web-страница запущена локально с вашей файловой системы, а не из сети Интернет? Рассмотрим следующую гипотетическую атаку, если ваш браузер не ограничивает возможности локальных страниц:

1. Вы получили email сообщение от злоумышленика, содержащее прикрепленную web-страницу, которую вы скачали.
2. Вы можете открыть, теперь уже локально, web-страницу в вашем браузере.
3. Локальная страница создает , источник которого https://mail.google.com/mail/.
4. Так как вы залогинены в Gmail аккаунт, фрейм загрузит почтовые сообщения.
5. Локальная страница прочитает контент фрейма, используя JavaScript код frames[0].document.documentElement.innerHTML. (Если бы вы загружали страницу из сети Интернет, то браузер не выполнил бы этот шаг, так как источником страницы не является Gmail; политика безопасности не допустит чтения).
6. Локальная страница может поместить контент в элемент и послать данные с помощью POST запроса на сервер злоумышленика. Теперь у атакующего имеется информация, которая может быть полезна для спама или грабежа.

Gmail ничего не может сделать в данном случае для защиты себя от подобной атаки. Следовательно, браузеры берут на себя обязаность предотвратить такой ход событий с помощью невозможности или большой сложности выполнения описанных выше шагов. Ниже приведена политика безопасности популярных web-браузеров.

Safari 3.2

Локальные страницы Safari 3.2 имеют большие полномочия, так как они могут читать контент любого сайта (шаг №5 будет успешным). Safari защищает своих пользователей с помощью осложнения страницам из Интернет открывать локальные файлы (выполнение шага №2 становится сложным). Например, если вы кликните на гиперссылку, ведующую на локальный файл, Safari не отобразит локальную страницу. Вам надо вручную набрать урл к файлу в адресной строке браузера или же просто открыть файл.

Internet Explorer 7

IE7, также как и Safari 3.2 позволяет локальным страницам читать произвольные сайты и предотвращает клики на локальные файлы. Internet Explorer смягчает атаку путем запрета запуска с локальных страниц JavaScript кода (по умолчанию), предотвращая выполнение шага №5. Однако, он позволяет пользователям убрать это ограничение с помощью появляющегося информационного желтого блока, дающего возможность включить JavaScript или ActiveX объекты.

Opera 9.6

Opera 9.6 ограничивает возможности локальных web-страниц только на локальную файловую систему и не дает им возможности читать страницы из сети Интернет (шаг №5 не выполнится, так как источник iframe не локальный файл). Эта политика уменьшает вероятность наиболее серъезных атак, однако, позволяя локальным страницам читать данные из локальных файлов, появляется опасность при наличии в файловой системе важной информации. Например, если вы готовите налоговую декларацию, используя компьютер, ваша файловая система может содержать налоговые декларации за предыдущие годы. Злоумышленник может использовать описанную выше атаку для получения этих данных.

Firefox 3

Firefox, как и Опера, не дает локальным страницам читать страницы из сети Интернет. Также он ограничивает чтение локальных страниц только в одном каталоге или подкаталоге. Если вы смотрите, к примеру, локальную страницу из каталога “Мои загрузки”, браузер не даст прочитать файл из папки “Мои документы”. Но к сожалению, если запускаемая страница уже находится в “Мои документы”, она сможет прочитать всю информацию оттуда.

Google Chrome

Политика хрома похожа на ту, что использует браузер Опера. Google Chrome не дает пользователям кликать в Интернет-страницах ссылки на локальные файлы, а также блокирует локальные страницы от чтения произвольных сайтов. Однако этот браузер не отключает JavaScript, как Internet Explorer, для того, чтобы web разработчикам было проще работать локально (по статистике многие пользователи влючают JavaScript).

Наряду с политикой доступа также имеются другие вещи, касательно безопасности локальных web-страниц. Большинство пользователей имеют на своем компьютере несколько браузеров. Вы можете скачать страницу в Google Chrome и позже открыть её в Internet Explorer. Для обеспечения безопасности в данном случае используется так называемая web метка, прикрепляемая к скачиваемым страницам. IE обработает эту страницу, как из Интернет, позволяя запустить JavaScript, но не давая доступ на локальные файлы.

Существует множество вариантов развития событий открытия локальных страниц и на данный момент политика безопасности браузеров не может вас защитить на сто процентов от злоумышленников. Разработчики браузеров постоянно улучшают и дорабатывают привелегии, закрывая различные дыры в своих продуктах. Поэтому, работая локально с чужими html страницами, подумайте зараннее о возможных последствиях.

Управляем Internet Explorer с помощью групповой политики

Существует не менее трех независимых и иногда конфликтующих методов настройки IE с использованием групповой политики, поэтому было бы явной ошибкой утверждать, что применять эту технологию просто. Но учитывая, как важно защитить IE во многих компаниях, необходимо принять вызов и постараться найти оптимальное решение задачи. В этой статье собраны советы и оптимальные методы навигации по лабиринту управления IE с помощью групповой политики

Должен признаться, что, приступая к этой статье, я испытал соблазн написать: «Если вы хотите управлять конфигурацией браузера из групповой политики, переходите на Firefox». Как может убежденный сторонник групповой политики, такой как я, сделать подобное заявление? Очевидно, что настройка Internet Explorer (IE) с помощью групповой политики всегда отличалась излишней сложностью. .

Выбираем оружие

Как уже отмечалось, существует три основных метода управления конфигурацией IE через групповую политику.

• Параметры административных шаблонов в разделе Computer Configuration (или User Configuration)Administrative TemplatesWindows ComponentsInternet Explorer. Эти параметры представляют собой типовые блокировки, задаваемые через административные шаблоны. Назначенные таким образом параметры IE не могут быть изменены пользователем.
• User ConfigurationWindows SettingsInternet Explorer Maintenance. Это изначальный механизм для настройки IE через групповую политику. В ранних версиях механизма было много ошибок, а поведение в ходе настройки было непредсказуемым. Версия Windows 7 отличается большей надежностью.
• User ConfigurationPreferencesControl Panel SettingsInternet Settings.Метод настройки IE на основе предпочтений групповой политики ликвидирует пробел двух предшествующих методов, но не распространяется на некоторые важные области.

Поэтому в большинстве случаев решить задачу с использованием лишь одного метода не удается. Как правило, приходится использовать два, а иногда и все три метода, чтобы полностью управлять поведением IE на настольных компьютерах и серверах. В статье будут рассмотрены возможности каждого метода и некоторые особенности, о которых нужно помнить в том или ином случае. Кроме того, иногда знакомые мне специалисты применяли иные приемы в обход трех методов. Например, мне приходилось видеть, как, просто составляя сценарии для реестра, удавалось изменить базовые значения параметров IE (например, настройки прокси), не полагаясь на ненадежную политику настроек IE

Политика административных шаблонов

Параметры административных шаблонов для IE доступны в разделах Computer Configuration и User Configuration объекта групповой политики (GPO). Поэтому можно настроить их для применения ко всем пользователям данной группы компьютеров (Computer Configuration) или к особому кругу целевых пользователей (User Configuration). Назначая политики отдельным компьютерам и отдельным пользователям, избегайте конфликтов для конкретного пользователя, зарегистрированного на определенном компьютере. В случае конфликта обычно преобладают настройки отдельного компьютера, но так происходит не всегда, поэтому, если конфликт неизбежен, обязательно проверьте поведение. Я обычно определяю только параметры административных шаблонов для отдельных пользователей, особенно если предполагается одновременно использовать и две другие области политики. Эти две политики воздействуют только на отдельных пользователей, и в результате удается более аккуратно направлять политики для IE.

При переходе к новой версии IE на обновляемом компьютере обычно устанавливается новый файл шаблона ADM или ADMX. Уверен, что следующая версия IE 9 ничем не будет отличаться в этом отношении. Если установка выполняется на Windows XP или Windows Server 2003, обновленный файл со всеми необходимыми настройками и именем inetres.adm сохраняется в папке C:Windowsinf на компьютере, для которого выполняется обновление IE. Вручную скопируйте файл inetres.adm в доменный объект GPO, если требуется выполнить запуск с новыми параметрами. Известно, что в Windows Vista, Windows 7, Windows Server 2008 и Server 2008 R2 используется новый формат файла шаблона ADMX. Поэтому при установке новой версии IE обновленный файл inetres.admx сохраняется в папке C:Windowspolicydefinitions на обновленном компьютере Windows. Если в домене Active Directory (AD) размещено центральное хранилище ADMX Central Store, необходимо вручную скопировать в него файл inetres.adm, перезаписав существующую версию файла.

Преимущества административных шаблонов. Настройки административных шаблонов IE, как и других административных шаблонов, предназначены в первую очередь для того, чтобы принудительно задать поведение пользователей IE. Как правило, пользователи не могут переопределить настройки, сделанные через административные шаблоны IE (флажок затенен или отсутствует соответствующая вкладка). Например, можно скрыть вкладку Security в диалоговом окне свойств обозревателя данной области политик, и пользователь вообще не увидит этих параметров. Все настройки, с помощью которых можно отключить функции настройки IE, обычно находятся в этой области политики (экран 1).

Как настроить Content Security Policy (CSP)

Три года назад организацией Mozilla Foundation был разработан новый стандарт политики безопасности, который предотвращает XSS-атаки и другие, связанные с ним виды атак запрещая подгружать и выполнять скрипты с запрещённых ресурсов. Называется он Content Security Policy (CSP), что в переводе означает «Политика безопасности контента».

На момент написания статьи стандарт CSP находится в статусе Candidate Recommendation, что означает возможное принятие этого стандарта в будущем W3C консорциумом. На данный момент все популярные браузеры поддерживают этот стандарт.

Как отсутствие CSP может навредить сайту?

Допустим у вас есть сайт, на котором вы показываете рекламу пользователям и честно зарабатываете деньги. И всё идёт хорошо, пока к вам не начнут ходит пользователи с заражёнными браузерами. Заражённый браузер будет подменять рекламу на вашем сайте на свою и показывать её пользователю. Как следствие — пессимизация со стороны поисковиков и падение дохода. Если же вы введёте политику CSP на своём сайте, то чужая реклама уже не покажется конечному пользователю, потому что сервер с которого реклама будет пытаться загрузиться находится не в белом списке, впрочем обо всё по порядку.

Содержание Content Security Policy

По сути Content Security Policy — это заголовок, который сервер отправляет браузеру. Давайте разберём более детально из чего же он состоит.

Сейчас ещё немного теории, и потом сразу перейдём к практики, потерпите

Устанавливаем Content Security Policy на сайт

Как я уже писал выше, CSP — это обычный http заголовок, который можно наблюдать в консоли Google Chrome, наряду с остальными заголовками:

Чтобы лучше понять как работает Content Security Policy, давайте немного поэкспериментируем. Создайте файл index.php и напишите в него следующий код:

Обратите внимание, что в http заголовке я указал Content-Security-Policy-Report-Only он аналогичен Content-Security-Policy, с той лишь разницей, что не блокирует ресурсы, а только оповещает о нарушении. Крайне полезная штука при тестировании системы перед внедрением!

Давайте разберёмся, что же мы понаписали. Первым делом мы указали в http заголовке директиву default-src ‘self’ , что означает что подгружать ресурсы можно только со своего хоста. Любые инлайн скрипты и css запрещены. Ок, идём дальше и видим:

Т.е. попробуем выполнить инлайн скрипт и загрузить картинку со стороннего хоста. И посмотрим как отреагирует наш бравый защитник:

CSP отреагировал адекватно. Т.е. подгрузил картинку и выполнил инлайновый javascript, но при этом сказал нам в консоли «ата-та!», а именно: сообщил о том, что произошло два нарушения.

Теперь давайте изменим заголовок с Content-Security-Policy-Report-Only на Content-Security-Policy и посмотрим что будет:

Пендальф CSP никого не пустил.

Инлайн скрипт не был выполнен, а картинка не загрузилась. Круто, правда?

Теперь можете поэкспериментировать самостоятельно. Вам пригодятся две таблички выше в статье, в которых мы рассмотрели директивы и ключевые слова для указания хостов. Попробуйте заменить ‘self’ на http://zabolotskikh.com/ и посмотрите что произойдет — картинка сможет загрузиться, так как её сервер был указан в белом списке.

Хочу обратить ваше внимание, что хост желательно указывать с протоколом, так как в противном случае протокол будет взят из текущего хоста. Например, если вы укажите хост как zabolotskikh.com , а ваш сервер работает по протоколу https, то в белом списке окажется https://zabolotskikh.com/ .

Обработка отчётов

Вся прелесть этой политики в том, что помимо блокирования, мы также можем собирать отчёты о нарушениях! Помните в примере в http заголовке мы указали url report-uri http://localhost/csp/collector.php для сбрасывания отчётов? Как не сложно догадаться на этот url будут отправляться все отчёты о нарушениях.
Вот так выглядит отчёт о нарушении (в формате JSON):

С этим отчётом вы можете делать всё что угодно, например сохранять в базу, отправлять на почту. Я предлагаю записывать все нарушения в csv файл. Давайте сделаем это!

Создайте файл collector.php и напишите в него следующие строки:

Теперь ещё раз обновите страницу и посмотрите в директорию http://localhost/csp/. У вас должен появиться файл report.csv с двумя строчками кода:

Ура! Мы поймали отчёт о нарушениях и записали его в файл. Можете показать этот файл друзьям А лучше всего начните внедрять CSP на свой сайт, сначала в режиме тестирования, а потом в «боевом» виде. На этапе тестирования отчёт поможет вам анализировать какие директивы реагируют на нарушения и соответствующим образом настраивать их.

Полезные материалы по Content Security Policy

• http://w3c.github.io/webappsec-csp/ — спецификация стандарта.
• https://mathiasbynens.be/notes/csp-reports — интересная статья на английском про CSP.
• https://github.com/immrr/csp-report — скрипт для обработки отчётов о нарушениях и записи их в базу.
• http://www.cspplayground.com/csp_validator — валидатор CSP http заголовка! Очень полезная штуковина, вы можете проверить свой заголовок на корректность, согласно спецификациям стандарта.

Здравствуй дорогой читатель! Я рад приветствовать тебя на страницах моего блога. Уже несколько лет я занимаюсь веб-программированием и рад поделиться с тобой своими знаниями и советами. Если тебе понравились мои статьи, ты можешь подписаться на рассылку блога, из неё ты узнаешь много интересного!

А можно подробней, что куда писать в wordpress?

Годовая
подписка
на
Хакер

Xakep #251. Укрепляем VeraCrypt

Xakep #250. Погружение в AD

Xakep #248. Checkm8

Xakep #247. Мобильная антислежка

Content Security Policy — опасная политика

Обзор нового веб-стандарта и его фундаментальных уязвимостей

Чтобы идти в ногу со временем, браузеры внедряют все новые технологии для обеспечения безопасности пользователей. Одна из них — Content Security Policy, позволяющая разработчикам сайтов четко объяснить браузеру, на какие адреса тот может выполнять межсайтовые запросы. Однако новый веб-стандарт страдает от существенных недостатков, ставящих под сомнение его пригодность как защиты от XSS.

Content Security Policy vs Same Origin Policy

Одним из главных принципов безопасности браузеров и веба в целом является Same Origin Policy — дословно «политика единого источника» (устоявшегося термина до сих пор не существует). Ее суть заключается в проверке трех компонентов, из которых состоит origin: протокол, хост и порт. Если страница http://test1.ru/a.html пытается получить доступ к DOM страницы http://test2.ru/b.html, то у нее ничего не выйдет, так как хосты отличаются. Если бы SOP не существовал, любой сайт мог бы делать запросы на произвольные адреса и получать оттуда данные, что, как подсказывает логика, не есть хорошо. Причем страдали бы все: как пользователи, чьи персональные данные летали бы без принуждения, так и владельцы ресурсов, — в общем, в вебах творился бы полный хаос. Поэтому Same Origin Policy всех спасает и все счастливы. Однако есть одно но: что, если на страницу http://test1.ru/a.html внедрен злой скрипт с сайта http://test2.ru/, который делает плохие штуки в контексте браузера жертвы? В данном случае SOP бесполезен, ибо на

Очевидно, что такой подход не поможет защититься от случаев, когда у атакующего есть возможность внедрить код в скрипт с валидным токеном. Кроме того, есть масса вариантов обхода, о чем пойдет речь ниже.

CRLF Injection

При наличии CRLF-инъекции в заголовках ответа, то есть отсутствии фильтрации символа переноса строки, у атакующего есть возможность банального обхода CSP с помощью внедрения собственных директив. Здесь большую роль играет то, какой заголовок браузер будет использовать при наличии нескольких с одинаковым именем. Как в случае с HTTP Parameter Pollution, где одинаковые имена параметров обрабатываются по-разному на разных платформах, при внедрении еще одного заголовка Content-Security-Policy важно, где он окажется — перед первоначальным или после него, так как один браузер может взять последний заголовок, а другой — первый. Так, если браузер отдает приоритет первому и мы внедряем наш CSP перед настоящим, то обход тривиален:

Если же используется последний встреченный заголовок, то мы можем отправить его в тело страницы, отправив rnrn:

На выходе получим:

Таким образом, первоначальный заголовок попадет в содержание HTTP-ответа и не будет иметь силы.

Scriptless Attacks

Перейдем к более интересным вариантам обхода — на стороне клиента. Основная цель межсайтового скриптинга — получить некую приватную информацию пользователя, которая обычно хранится в cookie. Однако с введением таких мер защиты, как флаг httpOnly, запрещающий JS-скриптам доступ к защищаемым cookie, внедрением в браузеры XSS-фильтров (XSS Auditor в Chrome, XSSFilter в IE), собственно и самого CSP, исследователи безопасности все чаще обращают внимание на другие цели, например личные данные, различного рода токены (CSRF, oAuth, в скором будущем и script-nonce). При этом используются новые способы отправки данных на сторонние сайты, без JavaScript!

CSSAR

Еще в 2008 году Эдуардо Вела (Eduardo Vela), Дэвид Линдсей (David Lindsay) и Гарет Хейс (Gareth Heyes) представили технику чтения атрибутов тегов с помощью CSS-селекторов. На данный момент техника все так же актуальна. Если раньше она позиционировалась как обход NoScript, то сейчас ее можно использовать и для CSP. Суть CSSAR (CSS Attribute Reading) в брутфорсе значений с помощью селекторов атрибутов. Для этого на уязвимую страницу подключается CSS-файл с комбинациями выражений:

Если значение целевого инпута начинается с «a», то будет отправлен запрос на сайт атакующего через подгрузку фонового изображения, относящегося к соответствующей комбинации символов. CSS не имеет возможности указать позицию символа, поэтому для получения следующего знака необходимо сгенерировать массу вариантов вида

Поэтому конечный PoC может иметь объем в несколько сотен килобайтов.

CSSAR в действии

Вариант обхода № 4. Postcards from post-XSS world

Интересные идеи предложил Михал Залевски (Michal Zalewski). Например, имея внедрение кода перед формой, защищенной CSRF-токеном, можно вставить незакрытый тег img:

Все содержание страницы до следующей закрывающей кавычки, включая и целевой токен, после незакрытого атрибута src будет отправлено на сайт атакующего.

Другой вектор — использование тега , который работает как CDATA в XML. Внутри textarea допускаются любые символы, однако в отличие от предыдущего способа отправить полное содержание страницы можно только при участии пользователя, который должен самостоятельно отправить форму.

Еще один способ использует тот факт, что формы не могут быть вложенными, поэтому внедрение незакрытого тега

Аналогичного результата можно достичь при помощи вектора с использованием тега , который определяет URL для всех относительных путей на странице. Согласно стандарту, тег должен быть включен внутри , однако большинство браузеров допускают использование тега в любом месте:

Вариант обхода № 5. SVG-кейлоггер

Не менее интересные способы отправки личных данных на сторонние сайты в обход CSP можно встретить в исследованиях Марио Хайдериха (Mario Heiderich). Один из них играет роль настоящего кейлоггера при помощи тегов и . Официальная и документированная W3C-фича accessKey внутри позволяет привязать нажатия клавиш к инициированию HTTP-запросов — идеально для реализации кейлоггера, причем без использования JS! Внедрив следующий код на страницу с формой авторизации, можно перехватить нажатия клавиш пользователя и, соответственно, его логин и пароль:

Кейлоггер без строчки JS

Вариант обхода № 6. Чтение атрибутов с помощью… скроллбаров

Пожалуй, самая интересная scriptless-атака в обход CSP — чтение атрибутов с помощью CSS, SVG и скроллбаров в WebKit от того же Марио Хайдериха. Один из принципов атаки аналогичен CSSAR — с помощью CSS-селекторов содержание атрибута можно выразить через DOM, но уже селектором :after c CSS-выражением вида content: attr(href) (для ссылок). Дальше интересней — для каждого такого элемента с содержанием атрибута можно присвоить SVG-шрифт. В шрифте имеется лишь один символ, таким образом, остальные символы в целевом атрибуте не будут иметь физического размера на странице. Если «сжать» значение, то с помощью скроллбаров можно выяснить, какой символ содержится в значении, используя специальный селектор для указания фонового изображения при появлении скроллбара:

Техника позволяет извлекать CSRF-токены за меньшее количество запросов и с помощью меньшего по размеру эксплойта, нежели CSSAR. Демо смотри здесь.

Content Security Policy — большой шаг в сторону более безопасного веба. В перспективе веб-стандарт может серьезно повлиять на клиент-сайд атаки как класс. Если сейчас на большинстве уязвимых к XSS сайтам угнать куки можно обычными JS-векторами, то в будущем с распространением CSP в массы все будет не так просто. А это подтолкнет исследователей безопасности к еще более изощренным техникам, нацеленным на уязвимости в особенностях реализации CSP в конкретных браузерах.