Proxy gyorsÃtÃ³tÃ¡raik egy izgalmas FenyegetÃ©s az Internet Security

iBot · #1 (**permalink**) 10-05-2008

Tim Bass
10-05-2008 03:41
Proxy cache egyÃ¼tt rosszul megÃrt munkamenet Ã¼zemeltetÃ©si szabÃ¡lyzat, kÃ¶nnyen vezet a sÃºlyos biztonsÃ¡gi hiÃ¡nyossÃ¡gokat, hasonlÃ³ ahhoz, amit kiemelve Ãšj biztonsÃ¡g a Google Docs Revealed.

WebfejlesztÅ‘ nincs ellenÅ‘rzÃ©s proxyt gyorsÃtÃ³tÃ¡razza az interneten. Ugyanakkor a fejlesztÅ‘k nem gyakorolhatnak ellenÅ‘rzÃ©st a kÃ³d azt Ãrni, hogy admin csapatok konfigurÃ¡ciÃ³ ellenÅ‘rzÃ©se a web szervereket. FejlesztÅ‘k kell vÃ¡llalniuk a legrosszabb forgatÃ³kÃ¶nyv esetÃ©n az Internet agresszÃv Internet cache-kezelÃ©si politikÃ¡k, amelyek szolgÃ¡ljÃ¡k gyorsÃtÃ³tÃ¡razott adatok gazdasÃ¡gi Ã©s teljesÃtmÃ©ny okok miatt.

Ennek kÃ¶vetkeztÃ©ben, ez a tÃ©ny tovÃ¡bb nem hasznÃ¡lhatÃ³ az interneten, nÃ©ha eredmÃ©nyek tÃ¶bb internetes Ã¼gyfelek kÃ¼ldik ugyanazt a Set-Cookie HTTP fejlÃ©cek, pÃ©ldÃ¡ul .* Caching proxyszerverek be kell szereznie egy Ãºj sÃ¼ti a minden egyes Ãºj Ã¼gyfÃ©l kÃ©rÃ©sÃ©re. IdeÃ¡lis esetben a proxy cache nem cache-session cookie-k kezelÃ©sÃ©nek Ã©s terjesztÃ©sÃ©re elrejt a cookie-k tÃ¶bb Ã¼gyfelet. Azonban alkalmazÃ¡sok fejlesztÅ‘i nem tudja felvÃ¡llalni, hogy a proxy cache jÃ³l viselkedtek, kÃ¼lÃ¶nÃ¶sen az alkalmazÃ¡sok szÃ¡mÃ¡ra, ahol a biztonsÃ¡gi Ã©s adatvÃ©delmi van szÃ¼ksÃ©g.

A webfejlesztÅ‘k nem lehet tudni, hogy azok tartalma fogyasztjÃ¡k kÃ¶zvetlenÃ¼l, vagy pedig egy proxy cache. A fejlesztÅ‘k szintÃ©n nem feltÃ©telezhetjÃ¼k, hogy a HTTP vÃ¡laszt fogjÃ¡k szÃ¡llÃtani a kÃvÃ¡nt bÃ¶ngÃ©szÅ‘t. RÃ¡adÃ¡sul a fejlesztÅ‘k nem lehetnek biztosak abban, hogy a tervezett bÃ¶ngÃ©szÅ‘ is megkapja a kÃvÃ¡nt tartalmat .* Ha pÃ©ldÃ¡ul egy session ID-t kiadni egy Ã¼gyfÃ©l kap hasznÃ¡lni, amÃg a jelzÃ©s Ã©rvÃ©nyes, vagy amÃg hagyni, Ã©s lejÃ¡rt. Ha ez szolgÃ¡lt Ã©s szÃ¡llÃtott vÃ¡laszul egy titkosÃtatlan HTTP GET kÃ©rÃ©s, nincs rÃ¡ garancia, hogy lesz fogyasztja el a tervezett bÃ¶ngÃ©szÅ‘.

IdeÃ¡lis, SSL kell hasznÃ¡lni minden internetes Ã¼gyletek, amelyek bizalmas kezelÃ©se Ã©s a magÃ¡nÃ©let vÃ©delme, beleÃ©rtve a legÃºjabb Google Docs megszegÃ©se.* MÃ¡srÃ©szt, mÃ©g az SSL sem bolondbiztos. PÃ©ldÃ¡ul szÃ¡mos web fejlesztÅ‘ nincs jÃ³l beÃ¡llÃtva a "TitkosÃtott Sessions Csak a" cookie tulajdon. Ezek a helytelenÃ¼l beÃ¡llÃtott "secure" szerver kÃ¼ld HTTPS cookie-kat a nyÃlt, nem titkosÃtott.

Van-e sÃ¡rkÃ¡ny ...

MegjegyzÃ©s: A Reposted a (ISC) 2 blog. </ p>

ForrÃ¡s ...

TÃ¶bb, UNIX Ã©s Linux fÃ³rum tÃ©mÃ¡k Ã–n Ã¡ltal talÃ¡lt Hasznos
SzÃ¡l	Thread Starter	FÃ³rum	VÃ¡laszok	UtolsÃ³ hozzÃ¡szÃ³lÃ¡s
OWASP AppSec ÃzsiÃ¡ban 2008: Proxy gyorsÃtÃ³tÃ¡razza Ã©s Web Application Security	iBot	Complex Event Processing RSS hÃrek	0	10-03-2008 07:10 AM
Proxy gyorsÃtÃ³tÃ¡raik egy izgalmas FenyegetÃ©s az Internet Security	iBot	IT Security RSS	0	09-26-2008 12:30 AM
Microsoft biztonsÃ¡gi tanÃ¡csadÃ³ (956187): Fokozott veszÃ©lyt DNS spoofing SÃ©rÃ¼lÃ©kenysÃ©gazonosÃtÃ³	iBot	BiztonsÃ¡gi figyelmeztetÃ©seket (RSS) - Microsoft	0	07-25-2008 01:20 PM
Microsoft biztonsÃ¡gi tanÃ¡csadÃ³ (953818): Kevert fenyegeti KombinÃ¡lt Attack hasznÃ¡lata Apple	iBot	BiztonsÃ¡gi figyelmeztetÃ©seket (RSS) - Microsoft	0	06-06-2008 08:40 PM
A Top Ten biztonsÃ¡gi veszÃ©lyt 2008 (4. rÃ©sz) - az elsÅ‘ szÃ¡mÃº FenyegetÃ©s	iBot	Complex Event Processing RSS hÃrek	0	11-19-2007 02:50 PM

TÃ©ma eszkÃ¶zÃ¶k	KeresÃ©s a tÃ©ma
Show NyomtathatÃ³ verziÃ³ KÃ¼ldÃ©s e-mailben	KeresÃ©s a tÃ©ma: RÃ©szletes keresÃ©s
MegjelenÃtÃ©si mÃ³dok	Rate this thread
VÃ¡ltÃ¡s Linear Mode Switch to Hybrid Mode Threaded Mode	Rate this thread:


	Powered by