Zamknij komunikat

Nowy Office 2013
Do góry Skomentuj

Bezpieczniejszy Edge dzięki Content Security ...

Bezpieczniejszy Edge dzięki Content Security Policy Level 2 (CSP2)

W ostatniej kompilacji Insider Preview (15002) w kręgu Fast pojawiło się wsparcie dla CSP2 w Microsoft Edge (EdgeHTML 15.15002). Content Security Policy Level 2 to efektywny mechanizm blokujący ataki oparte na Cross-site scriptingu (XSS) i wstrzyknięciu zawartości.

CSP wspierany jest przez wszystkie wersje Microsoft Edge i pomaga deweloperom w blokowaniu zasobów, które mogłyby zostać użyte w niepowołany sposób. Pierwsza wersja Content Security Policy była trudna w implementacji na stronach. Dopiero CSP2 posiada wsparcie dla nonce'ów i hashów związanych ze skryptami i stylami. Nonce to pod względem kryptografii silna wartość losowa, generowana na każdej stronie i pojawiająca się zarówno w zasadach CSP, jak i w tagach skryptów. Używanie nonce'ów pomaga zminimalizować konieczność zarządzania listą dozwolonych adresów URL, pozwalając jednocześnie na działanie zaufanych skryptów.

Microsoft tłumaczy, że nie poprzestaje na CSP2 i w przyszłości zamierza rozszerzyć wsparcie na kolejną iterację mechanizmu: "CSP2 jest dla Microsoft Edge ważnym krokiem w kierunku poprawy stanu bezpieczeństwa i dogłębnych możliwości obrony aplikacji webowych, jednak wciąż jest wiele do zrobienia. W dalszej kolejności skupimy się na dodaniu wsparcia dla strict-dynamic ze specyfikacji CSP3, by deweloperzy i administratorzy stron mogli w mniejszym stopniu polegać na białych listach i umocnić swoje implementację CSP".

Microsoft współpracuje z Chrome i W3C Web Platform Tests, by zapewnić międzyplatformową implementacje, a także z W3C Web Application Security Working Group, by udoskonalić Content Security Policy Level 3.

Krzysztof Sulikowski
11 stycznia 2017, 15:35
1 066
Odsłony
Krzysztof Sulikowski
11 stycznia 2017, 15:35
1 066
Odsłony



Komentarze

Nie napisano jeszcze ani jednego komentarza. Twój może być pierwszy.

Dodaj swój komentarz

Zasady publikacji komentarzyZasady publikacji komentarzy

Redakcja CentrumXP.pl nie odpowiada za treść komentarzy publikowanych na stronach Portalu
i zastrzega sobie prawo do usuwania wypowiedzi, które:

  • zawierają słowa wulgarne, obraźliwe, prowokujące i inne naruszające dobre obyczaje;
  • są jedynie próbami reklamowania stron internetowych (spamowanie poprzez umieszczanie linków);
  • przyczyniają się do złamania prawa bądź warunków licencyjnych oprogramowania (cracki, seriale, torrenty itp.);
  • zawierają dane osobowe, teleadresowe, adresy mailowe lub numery GG;
  • merytorycznie nie wnoszą nic do dyskusji lub nie mają związku z tematem komentowanego newsa, artykułu bądź pliku.