Wie das Blockieren Kreuz-stellte das automatische Gewehr auf

Um besonneneres und sichereres zu übertragen Navigation Netz ist es notwendig zu enthalten und monitorate die Einheit von Kreuz-aufgestellten.
Die Kreuz-aufgestellten Nachfragen bilden damit Ihr das Datenbanksuchroutine benga, das an aufgestelltes Netz ein vollständig verschiedenes adressiert wird betreffend ist, was es wurde besucht werden gewünscht. Häufig sind sie gesetzmaßig oder mindestens nicht gefährliche Einheiten wie im Falle des Annoncierens von Ansagen. Aber häufig kommen sie verwendet von den Statistikfirmen, um Ihre Gewohnheiten der Navigation zu kennen, enthalten den spezifischen sichtbar gemachten Seiten aller Tag.

Kreuz-aufgestelltes Scripting (XSS) es ist eine Verwundbarkeit, der Pest das dynamische Netz aufstellte, das eine unzulängliche Steuerung des Einganges einsetzt. Ein XSS darf zu einem Vorwärts Code einsetzen zum Ziel, zum des Inhalts des besuchten Seite Netzes zu ändern. Auf diese Art werden sie sind unterschlagene gegebene empfindliche Geschenke in der Datenbanksuchroutine der Kunden, die diese Seite nachher besuchen. Die Angriffe zur Verwundbarkeit XSS haben das Zerbrechen der Effekte für aufgestellten mit einer erhöhten Anzahl von Kunden, da einzelnes compromissione genügendes, zwecks jedermann zu schlagen besucht die gleiche Seite ist.

Diese Verwundbarkeit liegt an den Störungen des programmatori, als viel häufig sie vollständig das validazione der Informationen Durchgänge im Eingang mit den Nachfragen vernachlässigen HTTP.

Um die Verwundbarkeit von aufgestellter zu überprüfen ist er genügend (als Beispiel) zum Einsatz des Codes zu versuchen Javascript in seinem fangen Sie von der Suche auf, um Effekte auf die Seite zu produzieren, die ausfällt und die Durchführung des eingesetzten Codes verursachen. Ende der
Übersetzung
Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di cookie a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.

Un altro caso pericoloso è quello del Cross-Site Request Falsificazione (CSRF) : attacchi in cui il vostro browser viene sollecitato a fare una richiesta a un altro sito web e altri siti web che si pensa (la persona), inteso a effettuare la richiesta. Il Cross-site request forgery, spesso abbreviato in CSRF diversamente dal cross-site scripting (XSS), che sfrutta la fiducia di un utente in un particolare sito, il CSRF sfrutta la fiducia di un sito nel browser di un utente.


Insomma : mi sembra chiaro che è quanto mai opportuno trovare il modo di bloccare un cross-site automatico per autorizzare solo i casi ritenuti più che sicuri.

Per ottenere lo scopo è disponibile un add-on gratuito per firefox : RequestPolicy .
Questo programma avvierà solo i cross-site autorizzati specificamente dall'utente.
Però , poichè l'impostazione di default è quella di bloccare qualunque cross-site , inizialmente il risultato sarà alquanto antipatico in quanto , per ogni sito non verrà visualizzato nessun link esterno , comprese le immagini e le pubblicictà adsense. Come qualunque altro addon firefox il plugin può essere disattivato in ogni momento.