Como el bloqueo cruz-situó el rifle automático

Para hacer una tela más prudente y más segura de la navegación es necesario abarcar y monitorate el mecanismo cruz-situados.
Las demandas Cruz-situadas hacen de modo que el suyo benga del browser tratado a la tela situada totalmente varia con respecto lo que fue deseada para ser visitada. Son a menudo mecanismos legítimos o por lo menos no peligrosos como en caso de anunciar avisos. Pero vienen a menudo utilizado de las compañías de la estadística para saber sus hábitos de la navegación, abarcados las páginas específicas visualizadas todo el día.

el scripting Cruz-situado (XSS) es una vulnerabilidad que las plagas situaron la tela dinámica que emplea un control escaso de la entrada. Un XSS permite a un delantero para insertar código a la puntería para modificar el contenido de la tela visitada de la página. De esta manera podrán ser presente sensibles dados desfalcados en el browser de los clientes que visitarán esa página posteriormente. Los ataques a las vulnerabilidades XSS tienen romper los efectos para situados con un número elevado de clientes, puesto que el solo compromissione es el suficiente para golpear cualquier persona visita la misma página.

Esta vulnerabilidad es debido a los errores del programmatori, que descuidan mucho a menudo totalmente el validazione de los pasos de la información en entrada con las demandas HTTP.

Para verificar la vulnerabilidad de situada él es suficiente (como ejemplo) intentar al relleno del código Javascript en su campo de la búsqueda para producir efectos en la página que resulta, causando la ejecución del código insertado. Fin de la
traducción
Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di cookie a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.

Un altro caso pericoloso è quello del Cross-Site Request Falsificazione (CSRF) : attacchi in cui il vostro browser viene sollecitato a fare una richiesta a un altro sito web e altri siti web che si pensa (la persona), inteso a effettuare la richiesta. Il Cross-site request forgery, spesso abbreviato in CSRF diversamente dal cross-site scripting (XSS), che sfrutta la fiducia di un utente in un particolare sito, il CSRF sfrutta la fiducia di un sito nel browser di un utente.


Insomma : mi sembra chiaro che è quanto mai opportuno trovare il modo di bloccare un cross-site automatico per autorizzare solo i casi ritenuti più che sicuri.

Per ottenere lo scopo è disponibile un add-on gratuito per firefox : RequestPolicy .
Questo programma avvierà solo i cross-site autorizzati specificamente dall'utente.
Però , poichè l'impostazione di default è quella di bloccare qualunque cross-site , inizialmente il risultato sarà alquanto antipatico in quanto , per ogni sito non verrà visualizzato nessun link esterno , comprese le immagini e le pubblicictà adsense. Come qualunque altro addon firefox il plugin può essere disattivato in ogni momento.