This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Tak jest (Windows 95) Tak może być (Windows NT 4.0)
3OWASP
Geneza problemu obcego kodu
Warstwy, którymi kod dostaje się do procesora, gdzie jest wykonywany:Obcy proces, wstrzyknięcie kodu do pamięci,Obcy obiekt, wtyczka, BHO,Obcy kod w jądrze systemu,Obcy kod pobrany i uruchomiony przez
Wątpliwości, odnośnie do dalszego rozwoju aplikacji.
21
OWASP
Zjemy wszystkie ciastka – Self-Destructing Cookies.
Każda sesja startuje z czystą przeglądarką,
Ciacho na czas sesji,Później znika (lub
nie).Maksimum
funkcjonalności przy utrudnionym szpiegowaniu.
22
OWASP
Problem z ciastkami
Dziś czysta przeglądarka, bez ciastek i śmieci jest czymś nadzwyczajnym.
23
OWASP
Nadal można śledzić
Niestety złodzieje informacji nadal to robią,Fingerprint stacji,
Rozdzielczość,Zmienne widoczne z przeglądarkiCzcionki,Przeliczanie wysokości i widoczności divów,Możliwość wykonania konkretnych skryptów,Pula używanych IP,Flash, Silverlight.
Tak działają wszystkie znane mi paywalle,Czasami pomaga Blender albo UAControl.
24
OWASP
Agent pod kontrolą
Podmiana User Agent,Działanie per site,Własny agent,
zależnie od potrzeb,Przeglądanie „jak to
widzi Google”.
25
OWASP
Brak narzędzi dla firm i „power userów”
Pełna kontrola skryptów i instrukcji,Usuwanie overlay, ciastek, reklam,Autousuwanie szpiegów,Zarządzanie obiektami Flash itp.Czyszczenie fingerprintu,Łatwa modyfikacja strony w locie,Zapis jako skrypt…...by potem uruchomić ten skrypt
na proxy.Czy jest proxy, które to umie?
26
OWASP
Trudne zadanie
Żaden ze znanych mi obecnie firewalli nie rozpoznaje kontekstu przeglądarki.
Każdy z dodatków wprowadza obcy kod.
Komu można zaufać?Co można audytować?Brak narzędzia dla Edge
(tylko Firefox i po części Chrome).
William Edwards Deming
27
OWASP
zasady M.Marciniaka
Tzw. „Wielka Trójka”: Adblock Plus/uBlock, NoScript, Ghostery.Jej Pomocnicy: Self-Destructing Cookies, UAControl, uMatrix.Jeśli strona WWW używa obcych skryptów, to być może należy
poprawić webmastera – zablokować je,Google Analytics (i klony) to wróg publiczny w firmach,Każdy obcy obiekt jest potencjalnym złodziejem,Firefox nie bez powodu posiada menedżer profili.Nie wierz AV, IPS ani WAF. Słuchaj ich razem (=SIEM).Działaj na Linuksie, przeglądarkę identyfikuj jak na Windows
XP lub Vista. Lub odwrotnie.Flash? There is a blacklist for that. Albo click-to-play.Gadu-Gadu to pikuś przy Facebooku.