LINUX.ORG.RU
ФорумTalks

Возможность выполнения JavaScript в обход ограничений NoScript

 ,


1

3

В популярном дополнении NoScript, используемом для блокирования выполнения нежелательного JavaScript-кода, выявлена недоработка, которая позволяет организовать выполнение произвольного JavaScript-кода под прикрытием белого списка. NoScript по умолчанию разрешает выполнение скриптов, загруженных с доверительных ресурсов, помещённых в белый список. В список заслуживающих доверия ресурсов входит и домен googleapis.com, который используется не только для ресурсов Google, но и в работе публичных сервисов.

Для запуска своего JavaScript в обход NoScript атакующий может создать скрипт, разместив его в Google Cloud и установив прямую ссылку на storage.googleapis.com. Продолжив изучение белого списка исследователи пришли к выводу, что это не единичный случай. Например, присуствующий в белом списке домен zendcdn.net был освобождён и его удалось купить всего за 10 долларов. Обеспокоенным безопасностью пользователям рекомендуется очистить белый список NoScript (Options > Whitelist).

Такие дела

http://www.opennet.ru/opennews/art.shtml?num=42548


рекомендуется очистить белый список

Что я и делал в первую очередь, когда юзал носкрипт.

mandala ★★★★ ()
Ответ на: комментарий от mandala

А мне обновление днём ещё прилетело, сейчас посмотрел - этот домен отключен.

jori ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.