Köszönhetően a Netscape mérnökeinek, akik bevezették az azonos származási szabályzatot (SOP), szabadon böngészhet az érzékeny weboldalak között anélkül, hogy megosztaná adatait egy másik oldallal.
Bármilyen fontos is, az azonos eredetű politika koncepcióját sok internetfelhasználó nehezen tudja megérteni. Ebből a cikkből jobban megértheti, hogyan működik, és miért fontos.
Mi az az azonos származású irányelv (SOP)?
Az azonos eredetű szabályzat a böngésző biztonsági mechanizmusa, amellyel a webböngésző korlátozza egy másik weboldal szkriptjének és adatainak elérését az adataikhoz és információikhoz. Ez azonban lehetővé teszi a weboldal szkriptjeit és adatait, amelyek korrelálnak vele.
Az azonos eredetű szabályzat értelmében a böngészők megakadályozzák, hogy a különböző eredetű tartalmak (weboldalak) megzavarják az övéket. Az azonos eredetű házirend szabályai kimondják, hogy a böngésző által betöltött összes erőforrásnak azonos protokollal (más néven sémával), URL-lel és porttal kell rendelkeznie az erőforrás eléréséhez.
Íme egy példa:
Tegyük fel, hogy felkeresi a myexample.com weboldalt, majd utána felkeresi az example.com webhelyet. Az azonos eredetű irányelv az, ami megakadályozza, hogy a myexample.com JavaScriptje hozzáférjen az example.com webhelyen található információkhoz.
A protokoll a „http”, a domain a „myexample.com” vagy „example.com”, a portszám pedig „80”. Alapértelmezés szerint minden webhely vagy weboldal ugyanazzal a porttal rendelkezik, amely "80".
Azonos származású szabályzat nélkül, a myexample-be való bejelentkezés után.com, egy egyszerű JavaScript hívás, amely az iframe-be van betöltve, használható a példa DOM (Document Object Model) elemeinek megadására..com. Ez oda fog vezetni érzékeny adatok expozíciója káros következményekkel.
Fontos megjegyezni, hogy az azonos eredetű irányelv csak a szkriptekre vonatkozik. Az olyan erőforrások, mint a CSS, a képek és a rugalmasan betöltött szkriptek különböző forrásokból elérhetők a megfelelő HTML-címkék használatával, a betűtípusok kivételes kivételt képeznek.
Ezért a nem szkriptek elleni támadások hatékonyak, mivel a támadók kihasználják azt a tényt, hogy a HTML-címkékre nem vonatkozik az azonos származási szabályzat. Ez kétségtelenül az egyik hiányossága.
Egy másik hiányosság az összetett műveletek számának ismétlődő korlátozása a modern webalkalmazásokban.
Annak ellenére, hogy az azonos eredetű irányelv figyelemre méltó a biztonság szempontjából, legtöbbször ugyanazon szervezet több aldomainjét vagy tartományát érinti. Az információk megosztása a domainekkel nehéz, még akkor is, ha együtt vannak.
Miért fontos az azonos származású irányelv (SOP)?
Az azonos származású politika nem csupán a weboldalak vagy az eredet közötti szabályok létrehozásáról szól; ez lényeges, különösen a kibertámadások tekintetében. Bizonyos biztonsági előnyöket kínál az online felhasználók számára az adataik védelmében.
Íme néhány előnye az azonos származású irányelvnek.
1. Megakadályozza a rosszindulatú támadásokat
Az azonos eredetre vonatkozó szabályzat segít felszámolni a potenciálisan rosszindulatú támadási vektorokat egy weboldalon vagy eredeten, különösen azokon a weboldalakon, amelyek érzékeny felhasználói adatokat tartalmaznak vagy tárolnak. Ezt úgy éri el, hogy az észlelt potenciális támadásokat azonnal megindítja, mielőtt azok eszkalálódnának.
Ha ugyanazt a származási irányelvet alkalmazza weboldalán vagy böngészőjében, jelentősen csökken a rosszindulatú támadások száma.
2. Az interakció korlátozása
Az azonos eredetre vonatkozó szabályzat segít korlátozni, hogy egy webhelyről származó szkript hogyan kommunikáljon egy másik weboldal szkriptjével.
Ha a megosztott adatokra korlátozás vonatkozik, akkor az eredet minden erőforrása fokozottan védett. Ennek élénk példája az, amelyet az én példámnál említettünk.com a példa forgatókönyvének hatókörében.com.
3. Akadályozza meg a jogosulatlan olvasási hozzáférést
Az azonos eredetű házirend segít a hitelesítési munkameneteket használó webhelyek védelmében. Ez látható az „emlékezz rám” funkciót használó webhelyeken.
A szabályzat úgy működik, hogy biztonságban tartja a kiemelt információkat. Megakadályozza a jogosulatlan olvasási hozzáférést egyik forrásból a másikba.
4. Hatékony a cookie-khoz
Az azonos eredetre vonatkozó szabályzat megtiltja a támadónak cookie-k olvasása vagy létrehozása a célzott forrástartományban. Megakadályozza őket abban, hogy érvényes tokent illesszenek be a tervezett formájukba. Az engedélyt nem kell elrejteni a szerveren, ami ennek a technikának a további előnye az időzítési mintához képest.
Biztosítsa adatait az azonos származási szabályzattal
Az azonos eredetű házirend számos webes biztonsági folyamat középpontjában áll, beleértve a DOM-hozzáférést, a JavaScriptet, a cookie-kat és egyebeket.
Az azonos származási irányelvnek többféle megvalósítása létezik a különböző típusú webes tartalmakhoz. Hasonlóképpen különböző definíciók léteznek arra vonatkozóan, hogy az azonos eredetű irányelv hogyan vonatkozik a cookie-kra, a JavaScript-re és a DOM-hozzáférésre a böngészők között.
Legyen körültekintőbb a webhely létrehozásakor, hogy jobb biztonságot nyújtson, és javítsa a felhasználói élményt ugyanazzal a származási irányelvvel.
Mi az a böngésző ujjlenyomata, és hogyan védekezhet ellene?
Olvassa el a következőt
Kapcsolódó témák
- Biztonság
- Kiberbiztonság
- Webfejlesztés
A szerzőről
Chris Odogwu elkötelezett amellett, hogy írásaival tudást adjon át. Szenvedélyes író, nyitott az együttműködésekre, a hálózatépítésre és más üzleti lehetőségekre. Mesterdiplomát szerzett tömegkommunikációból (közkapcsolatok és reklám szak), valamint alapdiplomát tömegkommunikációból.
Iratkozzon fel hírlevelünkre
Csatlakozzon hírlevelünkhöz műszaki tippekért, ismertetőkért, ingyenes e-könyvekért és exkluzív ajánlatokért!
Kattintson ide az előfizetéshez
