Dzięki inżynierom Netscape, którzy wprowadzili Politykę Same-Origin (SOP), możesz swobodnie przeglądać wrażliwe strony internetowe bez udostępniania swoich danych innej stronie.
Nawet tak ważna, jak to jest, koncepcja polityki tego samego pochodzenia jest trudna do zrozumienia dla wielu użytkowników Internetu. Ten artykuł pozwoli Ci lepiej zrozumieć, jak to działa i dlaczego jest to ważne.
Co to jest polityka tego samego pochodzenia (SOP)?
Zasady tego samego pochodzenia to mechanizm bezpieczeństwa przeglądarki, dzięki któremu przeglądarka internetowa ogranicza inny skrypt i dane na stronie internetowej przed dostępem do ich danych i informacji. Zezwala jednak na skrypty i dane strony internetowej, które są z nią skorelowane.
Zgodnie z polityką tego samego pochodzenia przeglądarki zapobiegają ingerowaniu w treści o różnym pochodzeniu (strony internetowe). Reguły zasad tego samego pochodzenia stanowią, że wszystkie zasoby ładowane przez przeglądarkę muszą mieć ten sam protokół (może być również określany jako schemat), adres URL i port używany do uzyskania dostępu do zasobu.
Oto przykład:
Załóżmy, że odwiedzasz stronę myexample.com, a następnie odwiedzasz example.com. Zasada tego samego pochodzenia uniemożliwia kodowi JavaScript witryny myexample.com dostęp do informacji w witrynie example.com.
Protokół to „http”, domena to „myexample.com” lub „example.com”, a numer portu to „80”. Domyślnie każda witryna lub strona internetowa ma zwykle ten sam port, czyli „80”.
Bez zasady tego samego pochodzenia, po zalogowaniu się do myexample.com, proste wywołanie JavaScript, załadowane w jego iframe, może być użyte do wprowadzenia elementów DOM (Document Object Model) przykładu.com. Doprowadzi to do ekspozycja danych wrażliwych ze szkodliwymi konsekwencjami.
Należy zauważyć, że zasada tego samego pochodzenia dotyczy tylko skryptów. Zasoby, takie jak CSS, obrazy i elastyczne ładowane skrypty, mogą być udostępniane z różnych źródeł za pomocą odpowiednich znaczników HTML, a czcionki są godnym uwagi wyjątkiem.
Dlatego wszelkie ataki przeprowadzane na skrypty niebędące skryptami są skuteczne, ponieważ osoby atakujące wykorzystują fakt, że znaczniki HTML nie podlegają zasadom tego samego pochodzenia. To niewątpliwie jedna z jego wad.
Kolejnym mankamentem są powtarzające się ograniczenia liczby złożonych operacji w nowoczesnych aplikacjach webowych.
Mimo że polityka tego samego pochodzenia jest niezwykła ze względu na bezpieczeństwo, w większości przypadków wpływa na wiele subdomen lub domen tej samej organizacji. Dzielenie się informacjami z domenami jest trudne, mimo że są one razem.
Dlaczego polityka tego samego pochodzenia (SOP) jest ważna?
Zasada tego samego pochodzenia nie polega jedynie na tworzeniu reguł między stronami internetowymi lub źródłem; jest to istotne, zwłaszcza w przypadku cyberataków. Oferuje użytkownikom online pewne korzyści w zakresie bezpieczeństwa w zakresie zabezpieczania ich informacji.
Oto kilka korzyści z polityki tego samego pochodzenia.
1. Zapobiega złośliwym atakom
Zasada tego samego pochodzenia pomaga wyeliminować potencjalnie złośliwe wektory ataków na stronie internetowej lub w miejscu pochodzenia, zwłaszcza na stronach internetowych, które przechowują lub przechowują poufne dane użytkownika. Czyni to, przeprowadzając postrzegane potencjalne ataki, zanim się eskalują.
Jeśli zaimplementujesz zasady tego samego pochodzenia na swojej stronie internetowej lub w przeglądarce, znacznie spadnie liczba złośliwych ataków.
2. Ograniczenie interakcji
Zasada tego samego pochodzenia pomaga ograniczyć interakcję skryptu z witryny ze skryptem innej strony internetowej.
Gdy istnieje ograniczenie w udostępnionych danych, wszystkie zasoby ze źródła są wysoce chronione. Żywym tego przykładem jest ten, o którym wspomnieliśmy o moim przykładzie.com ustalanie zakresu scenariusza przykładu.com.
3. Zapobiegaj nieautoryzowanemu dostępowi do odczytu
Zasady tego samego pochodzenia pomagają chronić witryny korzystające z sesji uwierzytelniania. Widać to w witrynach korzystających z funkcji „zapamiętaj mnie”.
Polityka działa poprzez zapewnienie bezpieczeństwa poufnych informacji. Zapobiega nieautoryzowanemu dostępowi do odczytu z jednego źródła do drugiego.
4. Skuteczny w przypadku plików cookie
Zasady tego samego pochodzenia zabraniają atakującemu: odczytywanie lub tworzenie plików cookies w docelowej domenie źródłowej. Uniemożliwia im wstawienie prawidłowego tokena do opracowanego formularza. Pozwolenie nie musi być przechowywane na serwerze, co stanowi dodatkową zaletę tej techniki w stosunku do wzorca czasu.
Zabezpiecz swoje dane za pomocą polityki tego samego pochodzenia
Zasada tego samego pochodzenia jest konstrukcją leżącą u podstaw wielu procesów bezpieczeństwa sieci, w tym dostępu DOM, JavaScript, plików cookie i innych.
Istnieją różne implementacje zasady tego samego pochodzenia dla różnych typów treści WWW. Podobnie istnieją różne definicje, w jaki sposób zasady tego samego pochodzenia odnoszą się do plików cookie, JavaScript i dostępu DOM w różnych przeglądarkach.
Zachowaj większą ostrożność podczas tworzenia witryny, aby zapewnić większe bezpieczeństwo i poprawić wrażenia użytkownika dzięki zasadom tego samego pochodzenia.
Co to jest odcisk palca w przeglądarce i jak się przed nim bronić?
Czytaj dalej
Powiązane tematy
- Bezpieczeństwo
- Bezpieczeństwo cybernetyczne
- Tworzenie stron internetowych
O autorze
Chris Odogwu jest zaangażowany w przekazywanie wiedzy poprzez swoje pisarstwo. Jest zapalonym pisarzem, jest otwarty na współpracę, nawiązywanie kontaktów i inne możliwości biznesowe. Posiada tytuł magistra komunikacji masowej (kierunek Public Relations i reklama) oraz tytuł licencjata komunikacji masowej.
Zapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować
