Специалисты составили топ веб-уязвимостей 2020 года
Компания PortSwigger выпустила ежегодную подборку наиболее эффективных хакерских приемов. Голосование проводится с 2006 года, по итогам прошлого года организаторы отметили рост интереса сообщества специалистов по инфобезопасности к атакам, использующим прокси-серверы и многоуровневую архитектуру. В тройке лидеров 2020 года оказались:
3. Атака на Secondary C — внедрение в HTTP-запросы вторичных данных, таких как иконка сайта, например. Это прием с применением обходного пути, использующий неупорядоченность в прокси-серверах, микрофронтендах и балансировщиках загрузок.
2. Портативная эксфильтрация данных (Portable Data exFiltration): XSS для PDF-файлов. Метод предполагает форматирование и расширение парсеров PDF, что позволяет перейти от внедрения ссылки в PDF файл к краже документа, выполнению алгоритма JavaScript и межсерверной подделке запросов (SSRF).
1. H2C Smuggling. H2C — это принятое сокращение протокола HTTP/2 Cleartext, а сам метод подразумевает использование H2C для отправки запросов на прокси-сервер, который после этого обходит механизмы контроля доступа к серверу.
Список топ-10 хакерских приемов 2020 года можно посмотреть по ссылке:
https://portswigger.net/research/top-10-web-hacking-techniques-of-2020
#веб #кибербезопасность
Компания PortSwigger выпустила ежегодную подборку наиболее эффективных хакерских приемов. Голосование проводится с 2006 года, по итогам прошлого года организаторы отметили рост интереса сообщества специалистов по инфобезопасности к атакам, использующим прокси-серверы и многоуровневую архитектуру. В тройке лидеров 2020 года оказались:
3. Атака на Secondary C — внедрение в HTTP-запросы вторичных данных, таких как иконка сайта, например. Это прием с применением обходного пути, использующий неупорядоченность в прокси-серверах, микрофронтендах и балансировщиках загрузок.
2. Портативная эксфильтрация данных (Portable Data exFiltration): XSS для PDF-файлов. Метод предполагает форматирование и расширение парсеров PDF, что позволяет перейти от внедрения ссылки в PDF файл к краже документа, выполнению алгоритма JavaScript и межсерверной подделке запросов (SSRF).
1. H2C Smuggling. H2C — это принятое сокращение протокола HTTP/2 Cleartext, а сам метод подразумевает использование H2C для отправки запросов на прокси-сервер, который после этого обходит механизмы контроля доступа к серверу.
Список топ-10 хакерских приемов 2020 года можно посмотреть по ссылке:
https://portswigger.net/research/top-10-web-hacking-techniques-of-2020
#веб #кибербезопасность
В Google рассказали, чем заменят поддержку сторонних cookies
В Google заявили, что после прекращения поддержки сторонних файлов cookie в браузере Chrome (о таком намерении компания предупредила в 2020 году) не будет создавать альтернативные персональные идентификаторы для отслеживания людей, просматривающих веб-страницы.
Google при этом дает понять, что не пытается избавиться от таргетированной рекламы в целом, а хочет заменить старые, более агрессивные методы собственными разработками, которые компания называет «песочницей конфиденциальности». Часть работы Privacy Sandbox заключается в том, чтобы скрыть человека внутри группы «когорт», на которую и будет таргетироваться реклама.
Новая технология под названием Federated Learning of Cohorts (FLoC) позволяет таргетировать рекламу на большие группы пользователей на основе общих интересов. По заверению Google, она может обеспечить не только релевантность рекламы, но и конфиденциальность данных пользователей. Как сообщают в Google, тестирование FLoC с рекламодателями начнется во втором квартале 2021 года.
Полный текст заявления Google можно прочитать по ссылке:
https://blog.google/products/ads-commerce/a-more-privacy-first-web/
#google #cookies #приватность #веб #chrome
В Google заявили, что после прекращения поддержки сторонних файлов cookie в браузере Chrome (о таком намерении компания предупредила в 2020 году) не будет создавать альтернативные персональные идентификаторы для отслеживания людей, просматривающих веб-страницы.
Google при этом дает понять, что не пытается избавиться от таргетированной рекламы в целом, а хочет заменить старые, более агрессивные методы собственными разработками, которые компания называет «песочницей конфиденциальности». Часть работы Privacy Sandbox заключается в том, чтобы скрыть человека внутри группы «когорт», на которую и будет таргетироваться реклама.
Новая технология под названием Federated Learning of Cohorts (FLoC) позволяет таргетировать рекламу на большие группы пользователей на основе общих интересов. По заверению Google, она может обеспечить не только релевантность рекламы, но и конфиденциальность данных пользователей. Как сообщают в Google, тестирование FLoC с рекламодателями начнется во втором квартале 2021 года.
Полный текст заявления Google можно прочитать по ссылке:
https://blog.google/products/ads-commerce/a-more-privacy-first-web/
#google #cookies #приватность #веб #chrome
