Chromium: відмінності між версіями
[неперевірена версія] | [перевірена версія] |
Вилучено вміст Додано вміст
Виправлено джерел: 1; позначено як недійсні: 0. #IABot (v2.0beta14) |
Виправлено джерел: 1; позначено як недійсні: 0. #IABot (v2.0beta15) |
||
Рядок 34:
У Chromium немає дієвого захисту від [[Міжсайтовий скриптінг|XSS-атак]], але, завдяки тому, що Chromium підтримує HTTP-Only cookies, небезпека міжсайтового скриптинга значно знижується<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|title=Mitigating Cross-site Scripting With HTTP-only Cookies|date=2008 рік|publisher=[[Мережа розробників Майкрософт]]|language=англійською|accessdate=2011-04-01|archiveurl=https://www.webcitation.org/60ujxtZnN?url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|archivedate=2011-08-13|deadurl=no}}</ref>. Також активно тестується функція XSS Auditor, впроваджена в списку [[Chromium#Інструменти розробника|експериментальних функцій]] в 7 версії. Цей компонент значно збільшує захист від міжсайтового скриптинга. Вперше XSS Auditor був використаний в 4 версії Chromium<ref>{{cite web|url=http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html|title=Stable Channel Update|author=Anthony Laforge|date=25 січня 2010|publisher=Google|language=англійською|accessdate=2010-10-06|archiveurl=https://www.webcitation.org/60ujykyjY?url=http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html|archivedate=2011-08-13|deadurl=no}}</ref>, але у зв'язку з численними помилками та падінням продуктивності у версії 4.1 функція була відключена<ref>{{cite news|url=http://www.securitylab.ru/news/391914.php|title=вийшов Google Chrome 4.1|date=19 березня, 2010|publisher=SecurityLab.ru| language=uage=російською|accessdate=2010-10-06}}</ref>. Проблему з продуктивністю та стабільністю розробникам вдалося вирішити, але функція досі є експериментальною, оскільки не всі сайти здатні з нею працювати<ref name="secxssplug">{{cite news|url=http://news.softpedia.com/news/Chrome-Gets-XSS-Filter-and-Starts-Disabling-Outdated-Plug-Ins-159498.shtml|title=Chrome Gets XSS Filter and Starts Disabling Outdated Plug-Ins|author=Lucian Constantin|date=5 жовтня 2010|publisher=Softpedia| language=uage=англійською|accessdate=2010-10-06}}</ref>. Також в 7 версії Chromium як експеримент з'явилася можливість нагляду за модулями. Браузер отримав можливість пропонувати відключення тих плагінів, які мають незакриті вразливості до тих пір, поки не вийде оновлена версія модуля з виправленням помилок<ref name="secxssplug"/><ref>{{cite web|url=http://news.softpedia.com/news/Future-Versions-of-Chrome-to-Automatically-Disable-Outdated-Plug-Ins-145725.shtml|title=Future Versions of Chrome to Automatically Disable Outdated Plug-Ins|author=Lucian Constantin|date=2010-06-29|publisher=[[Softpedia]]|language=англійською|accessdate=2011-04-05|archiveurl=https://www.webcitation.org/60ujzJ9NO?url=http://news.softpedia.com/news/Future-Versions-of-Chrome-to-Automatically-Disable-Outdated-Plug-Ins-145725.shtml|archivedate=2011-08-13|deadurl=no}}</ref><ref>{{cite web|url=http://news.cnet.com/8301-27080_3-20009231-245.html|title=Google to block outdated plug-ins in Chrome|author=Elinor Mills|quote=The company did not provide a timeline for this feature, except to say it will be «medium-term, " in a post Monday on The Chromium Blog.|date=2010-06-29|publisher=[[CBS Corporation|CNET]]|language=англійською|accessdate=2011-04-05|archiveurl=https://www.webcitation.org/60uk05Y9g?url=http://news.cnet.com/8301-27080_3-20009231-245.html|archivedate=2011-08-13|deadurl=no}}</ref>, остаточно функція стала доступна в 10 версії браузера<ref>{{cite web|url=http://news.softpedia.com/news/Google-Chrome-10-Lands-with-Major-Security-Improvements-188372.shtml|title=Google Chrome 10 Brings Major Security Improvements|author=Lucian Constantin|quote=The new Google Chrome 10.0.648.127 is the first version of the browser to automatically disable outdated plug-ins by default, a feature first announced in June last year.|date=2011-03-08|publisher=[[Softpedia]]|language=англійською|accessdate=2011-04-05|archiveurl=https://www.webcitation.org/60uk0vY0Q?url=http://news.softpedia.com/news/Google-Chrome-10-Lands-with-Major-Security-Improvements-188372.shtml|archivedate=2011-08-13|deadurl=no}}</ref>.
Для забезпечення криптографічної безпеки при роботі з конфіденційною інформацією користувачів Chromium надає можливість працювати із захищеним протоколом передачі даних ([[HTTPS]]), які можуть упаковуватися згідно з криптографічними протоколами [[SSL|SSL 3.0]] та [[Transport Layer Security|TLS 1.0]]. Для додаткового захисту Chromium може використовувати експериментальний відкритий протокол [[HSTS]], що дозволяє встановлювати з сайтами у форсованому режимі захищене з'єднання <ref>{{cite web|url=http://lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html|title=Strict Transport Security|author=Jeff Hodges|coauthors=Collin Jackson, Adam Barth|date=18 грудня 2009 року|publisher=[[Консорціум Всесвітньої павутини|W3C]]|language=англійською|accessdate=2011-04-01|archiveurl=https://www.webcitation.org/60uk1l1MB?url=http://lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html|archivedate=2011-08-13|deadurl=no}}</ref><ref name="newsec">{{cite web|url=http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html|title=Security in Depth: New Security Features|author=Adam Barth|quote=We've been hard at work adding proactive security features to Google Chrome, and we're particularly excited about five new security features that make it easier for developers to build secure web sites.|date=26 січня 2010 року|publisher=The Chromium Authors|language=англійською|accessdate=2011-04-01|archiveurl=https://www.webcitation.org/60uk2LNid?url=http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html|archivedate=2011-08-13|deadurl=no}}</ref>.
Частину налаштувань безпеки користувач може регулювати сам. У Chromium вбудований компонент '''Безпечний перегляд''', що забезпечує захист від [[фішинг|фішингу]] та [[Шкідливий програмний засіб|шкідливого ПЗ]]<ref name="gcprivacy">{{cite web|url=http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/en//intl/en/landing/chrome/google-chrome-privacy-whitepaper.pdf|title=Google Chrome and Privacy|publisher=[[Google]]|format=[[PDF]]|language=англійською|accessdate=2011-04-01|archiveurl=https://www.webcitation.org/60uk2ykji?url=http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/en//intl/en/landing/chrome/google-chrome-privacy-whitepaper.pdf|archivedate=2011-08-13|deadurl=
* Специфікація [[HTML5]] у вигляді <code>Origin Header</code> забезпечує захист від [[Підробка міжсайтових запитів|підробки міжсайтових запитів]] (CSRF) <ref name=newsec />, блокуючи неправильні запити сайтів.
* Chromium підтримує X-Frame-Options API<ref>{{cite web|url=http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx|title=IE8 Security Part VII: ClickJacking Defenses|author=Eric Lawrence|date=27 січня 2009|publisher=MSDN|language=англійською|accessdate=2010-12-05|archiveurl=https://www.webcitation.org/60uk5MMZR?url=http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx|archivedate=2011-08-13|deadurl=no}}</ref>, що захищає браузер від [[Клікджекінг|клікджекінга]], а також X-Content-Type-Options API<ref>{{cite web|url=http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx|title=IE8 Security Part V: Comprehensive Protection|author=Eric Lawrence|date=2 липня 2008|publisher=MSDN|language=англійською|accessdate=2010-12-05|archiveurl=https://www.webcitation.org/60uk6efb5?url=http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx|archivedate=2011-08-13|deadurl=no}}</ref>, що надає браузеру можливість захищатися від [[MIME]]-сніффінга<ref group=~>{{cite web|url=http://adblockplus.org/blog/the-hazards-of-mime-sniffing|title=The hazards of MIME sniffing|author=Wladimir Palant|date=2007-04-29|publisher=Офіційний блог AdBlock+|language=англійською|accessdate=2010-12-05|archiveurl=https://www.webcitation.org/60uk7ttGz?url=http://adblockplus.org/blog/the-hazards-of-mime-sniffing|archivedate=2011-08-13|deadurl=no}}</ref>.
|