- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Тезисно
...
удалось добиться утечки данных из процесса, отвечающего за обработку web-контента в текущей вкладке Chrome (renderer process), со скоростью 1 килобайт в секунду.
...
компания Google опубликовала прототип эксплоита для того чтобы показать реалистичность атак с использованием уязвимостей класса Spectre и для стимулирования web-разработчиков для применения техник, минимизирующих риски от подобных атак.
...
Для снижения риска владельцам сайтов предлагается использовать реализованные в последнее время заголовки Cross-Origin Opener Policy (COOP), Cross-Origin Embedder Policy (COEP), Cross-Origin Resource Policy (CORP), Fetch Metadata Request, X-Frame-Options, X-Content-Type-Options и SameSite Cookie. Указанные механизмы напрямую не защищают от атак, но позволяют изолировать данные сайта от утечки в процессы, в которых может быть выполнен JavaScript-код атакующего
Статья относительно не маленькая, но рекомендую осилить и внимательно прочитать всем вебмастерам хотя бы для расширения кругозора и понимания векторов атак.
https://www.opennet.ru/opennews/art.shtml?num=54751
Статья относительно не маленькая, но рекомендую осилить и внимательно прочитать всем вебмастерам хотя бы для расширения кругозора и понимания векторов атак.
Статья, равно как и многие другие такого плана - вилами по воде. Никакой конкретики, а условия, по сути - притянуты за уши. Таких "эксплойтов", для которых нужно сочетание не сочетаемых искусственных условий - пруд пруди.
"Мы запустили код, который использует...". Вопрос: а что делает этот код на этом сайте? При чем тут вебмастер? Если вебмастер запилил JS, который выполняет неправомерные операции, то почему он должен об этом беспокоиться? Ведь он сам его и установил. Если это чужой код, запущенный на сайте - чем он отличается от взлома сайта? Опять же, при чем тут политики браузера? Ну, а если это чужой код из чужой вкладки, то вообще вопросы к браузеру.
JS скрипты имеют вполне себе не мифические возможности, вот только, чтобы их реализовать - по сути, на сайте, уже должен быть этот эксплойт. И, если он там есть, то вопрос уже не в использовании политик, а что он там вообще делает. Т.е. предложенные методы и якобы решения - вообще ниочем. Хотя, они сами об этом и пишут:
Что неудивительно.
PS: Собственно, можно почитать комменты на том же опеннете к искомой статейке, чтобы понять, что ноги у этого растут из совсем другого места.
вилами по воде. Никакой конкретики,
Никакой конкретики для пейсателей. Для нечитателей, которые ни текст ни ссылки в статье не осиливает.
(задумчиво: сказать или нет что это про дыру в хоромобраузере)
При чем тут вебмастер?
На бис, один раз:
для стимулирования web-разработчиков для применения техник, минимизирующих риски от подобных атак.