Pateicoties Netscape inženieriem, kuri ieviesa vienas izcelsmes politiku (SOP), jūs varat brīvi pārlūkot sensitīvas tīmekļa lapas, nekopīgojot savus datus ar citu lapu.
Pat lai cik svarīgi tas būtu, daudziem interneta lietotājiem ir grūti saprast vienas izcelsmes politikas koncepciju. Šis raksts sniegs jums labāku izpratni par to, kā tas darbojas un kāpēc tas ir svarīgi.
Kas ir vienas izcelsmes politika (SOP)?
Tāda paša izcelsmes politika ir pārlūkprogrammas drošības mehānisms, ar kuru tīmekļa pārlūkprogramma ierobežo cita tīmekļa lapas skripta un datu piekļuvi saviem datiem un informācijai. Tomēr tas pieļauj tīmekļa lapas skriptus un datus, kas ir saistīti ar to.
Saskaņā ar tās pašas izcelsmes politiku pārlūkprogrammas neļauj dažādas izcelsmes saturam (tīmekļa lapām) traucēt to saturu. Tās pašas izcelsmes politikas noteikumi nosaka, ka visiem pārlūkprogrammas ielādētajiem resursiem ir jābūt vienam un tam pašam protokolam (to var saukt arī par shēmu), URL un portam, ko izmanto, lai sasniegtu resursu.
Šeit ir piemērs:
Pieņemsim, ka apmeklējat tīmekļa lapu myexample.com un pēc tam apmeklējat example.com. Tāda paša izcelsmes politika neļauj vietnes myexample.com JavaScript piekļūt informācijai vietnē example.com.
Protokols ir “http”, domēns ir “myexample.com” vai “example.com” un porta numurs “80”. Pēc noklusējuma katrai vietnei vai tīmekļa lapai parasti ir viens un tas pats ports, kas ir "80".
Bez tās pašas izcelsmes politikas pēc pieteikšanās myexample.com, vienkāršu JavaScript izsaukumu, kas ielādēts tā iframe, var izmantot, lai ievadītu piemēra DOM (dokumenta objekta modeļa) elementus..com. Tas novedīs pie sensitīvu datu iedarbība ar postošām sekām.
Ir svarīgi ņemt vērā, ka vienas izcelsmes politika attiecas tikai uz skriptiem. Resursus, piemēram, CSS, attēlus un elastīgus ielādes skriptus, var padarīt pieejamus no dažādām izcelsmēm, izmantojot atbilstošos HTML tagus, bet fonti ir ievērojams izņēmums.
Tāpēc visi uzbrukumi, kas veikti pret skriptiem, ir efektīvi, jo uzbrucēji izmanto faktu, ka uz HTML tagiem neattiecas viena un tā paša izcelsmes politika. Tas neapšaubāmi ir viens no tā trūkumiem.
Vēl viens trūkums ir sarežģīto darbību skaita periodiskie ierobežojumi mūsdienu tīmekļa lietojumprogrammās.
Lai gan viena un tā paša izcelsmes politika ir ievērojama drošības ziņā, vairumā gadījumu tā ietekmē vairākus vienas organizācijas apakšdomēnus vai domēnus. Informācijas koplietošana ar domēniem ir sarežģīta, pat ja tie atrodas kopā.
Kāpēc viena un tā paša izcelsmes politika (SOP) ir svarīga?
Vienādas izcelsmes politika nav tikai noteikumu izveide starp tīmekļa lapām vai izcelsmi; tas ir svarīgi, jo īpaši attiecībā uz kiberuzbrukumiem. Tiešsaistes lietotājiem tas piedāvā dažas drošības priekšrocības, nodrošinot viņu informāciju.
Šeit ir dažas vienas izcelsmes politikas priekšrocības.
1. Novērš ļaunprātīgus uzbrukumus
Tāda paša izcelsmes politika palīdz izskaust potenciāli ļaunprātīgus uzbrukuma vektorus tīmekļa lapā vai izcelsmē, īpaši tīmekļa lapās, kurās ir vai tiek glabāti sensitīvi lietotāja dati. Tas tiek darīts, pamanot potenciālos uzbrukumus, pirms tie saasinās.
Ja savā tīmekļa lapā vai pārlūkprogrammā ieviešat tādu pašu izcelsmes politiku, ievērojami samazināsies ļaunprātīgu uzbrukumu skaits.
2. Mijiedarbības ierobežojums
Tās pašas izcelsmes politika palīdz ierobežot to, kā vietnes skripts mijiedarbojas ar citas tīmekļa lapas skriptu.
Ja koplietotajiem datiem ir ierobežojumi, visi resursi no izcelsmes ir ļoti aizsargāti. Spilgts piemērs tam ir tas, ko mēs minējām par manu piemēru.com, kas aptver piemēra skriptu.com.
3. Novērst nesankcionētu lasīšanas piekļuvi
Vienādas izcelsmes politika palīdz aizsargāt vietnes, kurās tiek izmantotas autentifikācijas sesijas. To var redzēt vietnēs, kurās tiek izmantota funkcionalitāte "atcerēties mani".
Politika darbojas, aizsargājot priviliģēto informāciju. Tas novērš nesankcionētu lasīšanas piekļuvi no vienas izcelsmes uz otru.
4. Efektīva sīkfailiem
Tāda paša izcelsmes politika aizliedz uzbrucējam no sīkfailu lasīšana vai izveidošana atlasītajā avota domēnā. Tas neļauj viņiem ievietot derīgu marķieri savā izstrādātajā formā. Atļauja nav jāglabā serverī, kas ir šīs metodes papildu priekšrocība salīdzinājumā ar laika shēmu.
Nodrošiniet savus datus ar tādu pašu izcelsmes politiku
Tāda paša izcelsmes politika ir daudzu tīmekļa drošības procesu, tostarp DOM piekļuves, JavaScript, sīkfailu un citu, pamatā.
Ir dažādi vienas izcelsmes politikas ieviešanas veidi dažādiem tīmekļa satura veidiem. Tāpat ir dažādas definīcijas tam, kā viena un tā paša izcelsmes politika attiecas uz sīkfailiem, JavaScript un DOM piekļuvi dažādās pārlūkprogrammās.
Esiet piesardzīgāks, veidojot vietni, lai nodrošinātu labāku drošību un uzlabotu lietotāja pieredzi, izmantojot vienādas izcelsmes politiku.
Kas ir pārlūkprogrammas pirkstu nospiedumu noņemšana un kā jūs varat pret to aizsargāties?
Lasiet Tālāk
Saistītās tēmas
- Drošība
- Kiberdrošība
- Web izstrāde
Par autoru
Kriss Odogvu ir apņēmies sniegt zināšanas, rakstot. Kaislīgs rakstnieks, viņš ir atvērts sadarbībai, tīklu veidošanai un citām biznesa iespējām. Viņam ir maģistra grāds masu komunikācijā (Sabiedriskās attiecības un reklāma) un bakalaura grāds masu komunikācijā.
Abonējiet mūsu biļetenu
Pievienojieties mūsu informatīvajam izdevumam, lai saņemtu tehniskos padomus, pārskatus, bezmaksas e-grāmatas un ekskluzīvus piedāvājumus!
Noklikšķiniet šeit, lai abonētu
