пятница, 30 ноября 2012 г.

Browser Security Handbook. Глава 1, пункт 4


Руководство по безопасности браузеров (Browser Security Handbook). Глава 1



4. Псевдо-протоколы URL


В дополнение к вышеупомянутым подлинным URL-протоколам, современные браузеры поддерживают множество псевдо-протоколов, используемых для реализации дополнительных функций, таких как выделение в самостоятельный элемент  закодированных документов в URL-адресе, обеспечение действующих функций скриптов, предоставление доступа к внутренней информации браузера и представление данных.
Выделение протокола в самостоятельный элемент представляет интерес для любого приложения, обрабатывающего ссылки, т.к. эти методы обычно вводят нестандартный анализ содержания или режим рендеринга поверх уже существующих ресурсов, указанных в конце URL. Основное содержание извлекается с помощью HTTP, найденного в определенном месте (например, в file:///), или полученного с помощью другого обобщенного метода (и в зависимости от того, как эти данные будут потом обработаны), и может выполняться в контексте безопасности, связанного с происхождением этих данных. Например, URL-адрес jar:http://www.example.com/archive.jar!/resource.html будет восстановлен по http-протоколу из http://www.example.com/archive.jar.
Из-за выделения протокола в самостоятельный элемент, браузер будет пытаться обработать полученный файл как java-архив (JAR) и извлечь его, а затем отобразить /resource.html внутри этого архива, в рамках сайта example.com.
Общие выделения протоколов в самостоятельный элемент отражены в таблице 4.

Таблица 4

Название протокола
MSIE7
MSIE8
FF3
Safari
Opera
Chrome
Android
feed (RSS, draft spec)
НЕТ
НЕТ
НЕТ
ДА
НЕТ
НЕТ
НЕТ
hcp, its, mhtml, mk, ms-help, ms-its, ms-itss (Windows help archive parsing)
ДА
ДА
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
ДА
НЕТ
НЕТ
НЕТ
НЕТ
view-cache, wysiwyg (просмотр кэшированных страниц)
НЕТ
НЕТ
ДА
НЕТ
НЕТ
ДА
НЕТ
view-source (просмотр исходного кода страницы)
НЕТ
НЕТ
ДА
НЕТ
НЕТ
ДА
НЕТ
В дополнение к перечисленным существуют также протоколы, используемые для доступа к внутренним функциям браузера и не связанные с веб-контентом. В эти псевдо-протоколы входят: about: (предназначен для отображения информации о встроенных функциях, интерфейсах для настройки и пр.), moz-icon: (используется для доступа к файлу иконки), chrome:, chrome-resource:, chromewebdata:, resource:, res: и rdf: (используются для ссылки на встроенные ресурсы браузера; часто предоставляется с повышенными привилегиями). Как правило, веб-контенту не разрешается напрямую ссылаться на конфиденциальные данные, однако,  они могут быть атакованы на доверенных сайтах при уязвимости в браузере.
И, наконец, существуют псевдо-протоколы, которые разрешают выполнять скрипты или передавать данные, содержащиеся в URL, унаследованные от абонента. Таким образом,  злоумышленник может получить доступ к конфиденциальной информации сайта. Известные протоколы этого типа представлены в таблице 5:

Таблица 5

Имя протокола
MSIE6
MSIE7
MSIE8
FF2
FF3
Safari
Opera
Chrome
Android
data (RFC 2397)
НЕТ
НЕТ
ДА
ДА
ДА
ДА
ДА
ДА
javascript (web scripting)
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
Примечание:  Эти  протоколы имеют и другие названия: псевдонимы для JavaScript - livescript и mocha – протоколы, которые  поддерживались Netscape Navigator и другими ранними браузерами; local работал в некоторых браузерах в качестве псевдонима для file и т.д.

Новости ИБ за 23 – 30 ноября 2012 года



Блоги:
Продолжение рассказа Артема Агеева о втором дне конференцию ZeroNights.

Статьи:
Антрополог провела три года в хакерской субкультуре, окружённая хакерами, гиками и нердами разных видов, и поделилась впечатлениями от научной командировки.

Ресурсы:
На YouTube выложили видео с вебинара «Безопасность веб-приложений. Вторая часть» от RISSPA.

Презентации с конференции ZeroNights-2012.

Книги:

Телекоммуникации и сети - книга будет интересна студентам технических вузов и специалистам в области средств телекоммуникаций и вычислительных сетей. В ней  приведены основы построения систем передачи данных и их характеристики, методы и технологии телекоммуникационных систем. Рассмотрены различные сетевые технологии, мобильные и спутниковые сети, а также назначение и сценарии работы основных сетевых протоколов.

Hacking Exposed 7: Network Security Secrets & Solutions, Seventh Edition - это седьмая версия известной книги, в которой рассматриваются современные методы сетевых атак и защита от них.

Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software – книга научит вас анализировать и разбирать любые вредоносные программы с помощью средств и методов, используемых профессиональными аналитиками.






пятница, 23 ноября 2012 г.

Новости ИБ за 9 – 23 ноября 2012 года



Блоги:
Презентация Дмитрия Евтеева, с которой он  выступал на "IX Международном форуме по банковским информационным системам".

Артем Агеев посетил конференцию ZeroNights и поделился своими впечатлениями.

Михаил Емельянников разложил по полочкам Постановление Правительства № 1119.



Статьи:
На Github выложили серверный модуль программы для анализа данных из открытых источников - OSINT OPSEC.

Центр информационной безопасности компании «Инфосистемы Джет» приглашает на стажировку студентов последних курсов и аспирантов последнего года обучения факультетов/кафедр по направлению «Информационная безопасность», которая продлится с 7 февраля по 31 мая 2013 года.


«Доктор Веб» выпустил восьмую версию Dr.Web для Windows и Dr.Web Security Space.» CNews.

В статье Олеси Шелестовой "Управление инцидентами в ИБ: формальность или необходимость?" рассматриваются некоторые аспекты автоматизированного управления инцидентами.

Андрей Комаров поделился ссылками на списки полезных справочных команд для пост-эксплуатации.

Вебинары:

27 ноября 2012 г. в 11:00, «Защита АСУ ТП» от DLP Expert и Андэк.

29 ноября 2012 г. в 11:00, «Как проверяет Роскомнадзор? Процедуры, риски, правила» от DLP Expert и Softline.

29 ноября 2012 г. в 14:00 «Excel для XML-отчетов MaxPatrol» от Positive Tehnologies.


Законодательство:
Федеральный закон Российской Федерации от 12 ноября 2012 г. N 190-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и в статью 151 Уголовно-процессуального кодекса Российской Федерации" и комментарии к нему.

Ресурсы:
Бесплатные курсы по криптографии от профессора Дэна Бонеха (Dan Boneh), Кстати, о данном курсе упоминает и Владимир Стыран.

пятница, 9 ноября 2012 г.

Новости ИБ за 2 – 9 ноября 2012 года



Блоги:
В связи с принятием ПП-1119 некоторые документы ФСТЭК, основанные на ПП-781, могут утратить свою силу. Подробности в посте Андрея Прозорова «ПП1119 «съедает» документы ФСТЭК».
 
«Какие нормативные акты требуют оценки соответствия средств защиты информации?». Фрагмент презентации Алексея Лукацкого с семинара по вопросам оценки соответствия.

«Как ФСБ дураком меня назвала - часть вторая». Продолжении истории Алексея Лукацкого о том, как госорганы заботятся о персональных данных при взаимодействии через Интернет.


Результаты исследования безопасности АСУ ТП от Positive Technologies предоставил Дмитрий Евтеев в посте «Когда наступит конец света?».

Журналы:
Вышел первый номер журнала «Безопасность Деловой Информации».

Статьи:

Вебинары:
14 ноября 2012 г. в 11:00, «Защита персональных данных» от компании LETA. Записаться на мероприятие.

Ресурсы:
Проект, посвященный Windows Forensic Environment - операционной системе, основанной на Microsoft PE (Preinstalled Environment) и модифицированной для расследования инцидентов ИБ. 

пятница, 2 ноября 2012 г.

Новости ИБ за 26 октября – 2 ноября 2012 года



Блоги:

«Общее. С чего начать CISO?». Сергей Борисов.


«Райдер спикера по безопасности». Алексей Лукацкий.

«Positive Hack Days III CFP is Open!». Дмитрий Евтеев.

«Осведомленность, как образ жизни». Владимир Матвийчук.

«О государственной измене». Алексей Лукацкий.

«Стандартные грабли при проверке РКН по ПДн». Артем Агеев.

Статьи:
Почему не рекомендуется использовать смартфон для выполнения банковских операций? Ответ на это вопрос вы найдете в статье Пауля С. Двайера (Paul C Dwyer) «10 Reasons NOT to use a banking app on your smartphone».

«Кражи виртуальные, возмездие реальное». Лариса Жукова (Управление «К» МВД России).

Вебинары:
6 ноября 2012 года в 10.00 состоится вторая часть вебинара «Безопасность веб-приложений» от RISSPA.

Ресурсы:
Honeypots.net – проект посвящен IDS, Honeypots, Honeynets  и расследованию инцидентов.

Бесплатные утилиты для обнаружения руткитов и вредоносного кода от InfoSec Institute Resources.