XSS tietoturva-aukko

webnovice

Cross site scripting (XSS) on tietoturva-aukko:

http://fi.wikipedia.org/wiki/Cross_site_scripting

Suojaako maksullinen ohjelma?

Nortonin vastaus:

"Tämä suoja pitäisi olla asenettu sivuilla, niin kun Facebookissa, koska Norton vain suojaa, ettei kukaan yritä otta tietoja sinun koneestasi. XSS saa tiedot heti sivulta, ei sinun koneesta."

F-Securen vastaus:
"Valitettavasti tässä meidän tuotteessamme ei ole tälläistä ominaisuuttaa, tuotteessamme on kylläkin tuo Selauksen suojaus ominaisuus, joka estää haitallisiksi tunnistetuille sivustoille pääsyn. Mutta tässä tilanteessa tämä NoScript saattaisi olla hyvä vaihtoehto tähän mainitsemaanne tilanteeseen."


Ilmainen NoScript-lisäosa suojaa XSS:ltä myös silloin, kun se on pois päältä, mutta kuitenkin asennettu Firefoxiin:

http://noscript.net/features#xss

Latauslinkki:
https://addons.mozilla.org/fi/firefox/addon/noscript/

Kommentteja?

3

145

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • hgtfrchgt

      NoScript on parhain minkään selaimen apuohjelma mitä on tehty. Mielestäni.
      Koskakohan se menee maksulliseksi, kun tässäkin kehutaan?

    • L33T

      XSS on kuitenkin paljon vaarattomampi verrattuna esim. SQL-injektioon, joka imaisee kerralla koko sivun databasen.

      • webnovice

        SQL-injektioon ei kuitenkaan taida olla muuta ehkäisyä kuin se, että sivulla oleva ohjelmointikoodaus, esim PHP, on ammattitaidolla tehty, eli jokaisen joka ylläpitää nettisivustoa, jossa on tietokanta, pitäisi antaa sivuston ohjemointikoodaukse ammattilaiselle eikä jollekin nuorelle nörtille, joka luulee osaavansa koodausta, ja varmaan osaakin, mutta ei ymmärrä tietoturvasta mitään. Väitän siis ettei SQL-injektio ole vaara, jos sivuston ohjelmointi on kunnolla tehty ja ajantasalla.

        Ei siis kannata antaa oikeita henkilötietojaan sellaiselle nettisivustolle, jonka on tehnyt ehkä amatööri.

        Yksi tietoturvauhka on myös se, että monilla asiallisillakin nettisivustoilla, esim. verkkokaupat, pitää henkilötiedot antaa suojaamattomassa yhteydessä. En tosin tiedä, miten todennäköistä on, että joku pääsee kaappaamaan ja kaappaa henkilötiedot tällaisessa tapauksessa. En ole koskaan kuullut, että niin olisi käynyt, vaan henkilötiedot on varastettu juuri tietokantaan murtautumisen kautta tms.

        Oleellisin tietoturva on se, ettei anna pankkikortin tietoja eli numerosarjaa suojaamattomassa yhteydessä eikä epämääräisille nettisivustoille.

        Kommenttaja?

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Mitkä asiat

      tekevät vaikeaksi kohdata kaivattusi?
      Ikävä
      74
      1094

    2. Mikä jäi sanomatta kaivatullesi?

      Ja milloin?
      Ikävä
      69
      1024

    3. Rakas

      Eihän se tietysti minulle kuulu, mutta missä sinä olet? 😠
      Ikävä
      47
      952

    4. Miltä se tuntuu

      Miltä se tuntuu havahtua, että on ollut ihmistä kohtaan, joka on rakastanut ja varjellut, täysi m*lkku? Vai havahtuuko s
      Ikävä
      104
      948

    5. Pidit itseäsi liian

      Vanhana minulle? Niinkö?
      Ikävä
      51
      895

    6. Haluaisitko oikeasti

      Vakavampaa välillemme vai tämäkö riittää
      Ikävä
      49
      694

    7. En mahda sille mitään

      Olet ihanin ja tykkään sinusta todella paljon.
      Ikävä
      32
      674

    8. Mitä se olisi

      Jos sinä mies saisit sanoa kaivatullesi mitä vain juuri nyt. Ilman mitään seuraamuksia yms. Niin mitä sanoisit?
      Ikävä
      34
      587

    9. Joko olet luovuttanut

      Mun suhteen?
      Ikävä
      50
      580

    10. Sinunkin pitää jättää

      Se kaivattusi rauhaan.
      Ikävä
      38
      536
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt