Рубрика «csp» - 2

в 13:47, , рубрики: axfr, csp, SSL, банки, Блог компании «Digital Security», информационная безопасность, фишинг
image

В нашей компании мы постоянно проводим различные исследования (список), выбирая интересную для нас тему и как итог — представляя общественности pdf с результатами.

Данная статья статья как раз из разряда таких исследований. Проводя работы по анализу защищенности мы приводим обычно очень схожие (общие для всех) советы, которым мало следует, некоторые best practices, которые или просто повышают общий уровень защищенности системы (например — применение CSP), или действительно позволяют предотвратить атаку.

Введение

Как известно, уровень безопасности системы определяется надежностью её самого слабого узла. На практике, после проведения анализа защищенности, основываясь на перечне найденных уязвимостей, выбирается одна брешь или целая цепочка и определяется наиболее проблемное звено. Сразу можно сказать, что зачастую правильно настроенная система может нивелировать риски существующей уязвимости. В ходе исследования мы выяснили, какие потенциальные векторы атак могут быть доступны злоумышленникам. Например, легко ли похитить сессионные данные пользователя при наличии уязвимости межсайтового скриптинга. Также нам было интересно посмотреть, насколько просто реализовать фишинговую атаку на пользователей банка. Пройдясь по этим пунктам и условно проставив “галочки”, злоумышленник может выстроить векторы дальнейших атак на банк и его пользователей.
Читать полностью »

в 18:26, , рубрики: csp, Варзазат, Марокко, пустыня, Сахара, солнечная электростанция, электроэнергия, Энергия и элементы питания, метки: ,

Марокко строит крупнейшую в мире станцию с концентрацией солнечной энергии, планирует начать экспорт электроэнергии в Европу - 1

За несколько часов все пустыни планеты поглощают столько солнечной энергии, сколько потребляет человечество за целый год. Специалисты давно предлагали превратить Сахару в европейский «электрогенератор». Наконец-то процесс пошёл.

Вблизи городка Уарзазат в африканской стране Марокко полным ходом идёт строительство крупнейшей в мире электростанции с концентрацией солнечной энергии (concentrating solar power, CSP).

Марокко — первая африканская страна, которая решила грамотно использовать своё географическое положение для экспорта электроэнергии в Европу. Большая часть территории находится в пустыне, а до европейской Испании всего несколько десятков километров через Гибралтарский пролив. Как же этим не воспользоваться?
Читать полностью »

в 16:01, , рубрики: csp, debugger api, developer tools, dommatrix, Firefox, firefox 33, javascript, off main thread, omtc, openh264, window.crypto, браузеры

Для загрузки стал доступен Firefox для десктопов. Основные нововведения: (и снова) оптимизация потребления памяти, Off Main Thread для Windows, интеграция OpenH264, различные улучшения в работе поиска в адресной строке, повышение стабильности восстановления сессий и т.д. Список всех изменений в Firefox 33 под катом.
Читать полностью »

в 11:51, , рубрики: csp, web standards, Веб-разработка, информационная безопасность, метки: ,

Есть такой специальный хедер для безопасности вебсайтов CSP.

CSP ограничивает загрузку каких либо ресурсов если они не были пре-одобрены в хедере, то есть отличная защита от XSS. Атакующий не сможет загрузить сторонний скрипт, inline-скрипты тоже отключены…

На уровне браузера вы можете разрешить только конкретные урлы для загрузки а другие будут запрещены. Помимо пользы этот механизм может принести и вред — ведь факт блокировки и есть детекция! Осталось только придумать как ее применить.
Читать полностью »

в 12:15, , рубрики: csp, безопасность, Блог компании Яндекс, Веб-разработка, информационная безопасность, яндекс, Яндекс.Почта, метки: , , ,

Одним из приоритетов для команды Яндекс.Почты всегда была и есть безопасность данных пользователя. Причем это касается не только хранения писем, но и безопасного доступа к ним. Еще в 2011 году мы стали пропускать все изображения в письмах через наши прокси-сервера, перекрыв один из каналов распространения вредоносного кода, а также кешировать их для экономии трафика и обеспечения большей приватности. В ноябре этого года мы внедрили шифрование при приеме и отправке почты, а также и перевели почту в режим HTTPS-only — теперь веб-интерфейс доступен только по безопасному протоколу.

А с недавних пор мы стали поддерживать новый механизм защиты данных пользователя – стандарт Content Security Policy. С его помощью можно запретить скриптам на странице подгружать какие-либо ресурсы с хостов, не указанных в белом списке.

Это пока довольно редкая штука (ни одна крупная известная нам почта этого ещё не применяет), и в этом посте мы поделимся опытом внедрения стандарта.

image
Читать полностью »

в 10:38, , рубрики: cache, csp, file upload, intersystems, intersystems cache, javascript, метки: , , , , ,

У разработчиков веб-приложений на Caché и Ensemble часто возникает задача «file upload» — загрузки файлов с браузера. Недавно на форуме по Caché на SQL.ru снова возникло несколько вопросов о том, как сделать фоновую загрузку файлов. Решил описать как это можно сделать с использованием технологий CSP и ZEN.
Читать полностью »

в 9:27, , рубрики: chrome, chrome extension, content security policy, csp, extension, Google Chrome, sandboxing, templates, underscore, Web-store, метки: , , , , , , , ,

Владельцам расширений (а также приложений) для Хрома уже пора бы задуматься над поддержкой второй версии манифеста.
Если кто не в курсе, то не так давно были объявлены новые изменения и нововведения в разработку расширений для браузера.
Далее будет выборочный перевод двух страниц и мой способ использования шаблонизатора изнутри песочницы.
Читать полностью »

в 4:46, , рубрики: cache, csp, dbms, intersystems cache, nosql, web-разработка, zen, Блог компании InterSystems, локализация, ооп, субд Caché, метки: , , , , , , , , ,

Предположим, вы написали программу, выводящую «Hello, World!», например:
  write "Hello, World!"

Приложение работает, всё хорошо.
Но проходит время, ваше приложение развивается, становится популярным и вот, вам нужно эту строку вывести уже на другом языке, причём количество и состав требуемых языков заранее неизвестен.
image

Под катом вы узнаете, как решается задача локализации в Caché.

Читать полностью »

в 6:10, , рубрики: csp, алгебра процессов, исчисление процессов, параллельные вычисления, метки: , , ,

Продолжаем цикл статей посвящённый алгебре исчисления процессов. Данный текст является переводом и сокращённым пересказом начальных глав книги Чарльза Э. Хоара. Теория применяется для формального описания работы параллельных систем. Примерам её практических применений являются такие языки программирования как Erlang, Go и Limbo.

Выбор

С помощью рекурсии и префиксов мы можем описать объект с единственно возможным линейным поведением. Однако, многиеЧитать полностью »

в 8:45, , рубрики: csp, erlang, golang, limbo, алгебра процессов, исчисление процессов, параллельные вычисления, метки: , , , , , ,

Предисловие

Данный текст является переводом и сокращённым пересказом начальных глав книги Чарльза Э. Хоарома. Целью является ознакомление русскоязычной аудитории с данной алгеброй исчисления процессов, коя нашла достаточно широкое применение в современной вычислительной науке в связи с большим распространением параллельных систем. Наиболее близкими и понятными практическими применениями CSP, думаю, будут являться следующие языки программирования:

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js