Díky inženýrům Netscape, kteří zavedli zásady Same-Origin Policy (SOP), můžete volně procházet citlivé webové stránky, aniž byste svá data sdíleli s jinou stránkou.
I když je to důležité, koncept politiky stejného původu je pro mnoho uživatelů internetu obtížně pochopitelný. Tento článek vám poskytne lepší pochopení toho, jak to funguje a proč je to důležité.
Co jsou zásady stejného původu (SOP)?
Zásada stejného původu je mechanismus zabezpečení prohlížeče, pomocí kterého webový prohlížeč omezuje jiný skript webové stránky a data v přístupu k jejich datům a informacím. Povoluje však skripty a data webové stránky, která s ní korelují.
V zásadě stejného původu prohlížeče zabraňují tomu, aby obsah různého původu (webové stránky) narušoval jejich obsah. Pravidla zásady stejného původu uvádějí, že všechny zdroje načtené prohlížečem musí mít stejný protokol (může být také označován jako schéma), adresu URL a port použitý k dosažení zdroje.
Zde je příklad:
Řekněme, že navštívíte webovou stránku myexample.com a poté navštívíte example.com. Zásada stejného původu brání JavaScriptu myexample.com v přístupu k informacím na example.com.
Protokol je „http“, doména je „myexample.com“ nebo „example.com“ a číslo portu „80“. Ve výchozím nastavení má každá webová stránka nebo webová stránka stejný port, což je „80“.
Bez zásady stejného původu, po přihlášení do myexample.com, jednoduché volání JavaScriptu načtené ve svém prvku iframe lze použít k zadání prvků DOM (Document Object Model) příkladu.com. To povede k vystavení citlivých údajů s ničivými následky.
Je důležité si uvědomit, že zásady stejného původu se týkají pouze skriptů. Zdroje, jako jsou CSS, obrázky a flexibilní načtené skripty, lze zpřístupnit z různých zdrojů pomocí příslušných značek HTML, přičemž výraznou výjimkou jsou písma.
Jakékoli útoky na neskripty jsou proto účinné, protože útočníci využívají skutečnost, že značky HTML nepodléhají zásadám stejného původu. To je bezpochyby jeden z jeho nedostatků.
Dalším nedostatkem jsou opakující se limity kladené na počet složitých operací v moderních webových aplikacích.
I když je zásada stejného původu z hlediska zabezpečení pozoruhodná, ve většině případů ovlivňuje více subdomén nebo domén stejné organizace. Sdílení informací s doménami je obtížné, i když jsou spolu.
Proč je důležitá zásada stejného původu (SOP)?
Politika stejného původu není pouze o vytváření pravidel mezi webovými stránkami nebo původem; je to relevantní, zejména pokud jde o kybernetické útoky. Nabízí některé bezpečnostní výhody online uživatelům při zabezpečení jejich informací.
Zde jsou některé výhody politiky stejného původu.
1. Zabraňuje škodlivým útokům
Zásada stejného původu pomáhá vymýtit potenciálně škodlivé vektory útoků na webové stránce nebo původu, zejména na webových stránkách, které obsahují nebo uchovávají citlivá uživatelská data. Dělá to tak, že před eskalací zahájí vnímané potenciální útoky.
Pokud na svou webovou stránku nebo prohlížeč implementujete zásadu stejného původu, výrazně se sníží počet škodlivých útoků.
2. Omezení interakce
Zásada stejného původu pomáhá omezit interakci skriptu z webové stránky se skriptem jiné webové stránky.
Pokud existuje omezení ve sdílených datech, jsou všechny zdroje od zdroje vysoce chráněny. Živým příkladem toho je ten, který jsme zmínili o myexample.com s rozsahem skriptu příkladu.com.
3. Zabránit neoprávněnému přístupu ke čtení
Zásada stejného původu pomáhá při ochraně webů, které používají relace ověřování. To lze vidět na stránkách, které používají funkci „zapamatovat si mě“.
Zásada funguje tak, že udržuje privilegované informace v bezpečí. Zabraňuje neoprávněnému přístupu ke čtení z jednoho zdroje do druhého.
4. Efektivní pro soubory cookie
Zásady stejného původu zakazují útočníkovi čtení nebo zakládání cookies na cílové zdrojové doméně. Brání jim ve vložení platného tokenu do jejich navrženého formuláře. Povolení nemusí být ukryto na serveru, což je další výhoda této techniky oproti vzoru časování.
Zabezpečte svá data se zásadami stejného původu
Zásady stejného původu jsou základem mnoha procesů zabezpečení webu, včetně přístupu DOM, JavaScriptu, souborů cookie a dalších.
Existují různé implementace zásad stejného původu pro různé typy webového obsahu. Podobně existují různé definice toho, jak se zásady stejného původu vztahují na soubory cookie, JavaScript a přístup DOM napříč prohlížeči.
Při zakládání webu buďte opatrnější, abyste zajistili lepší zabezpečení a zlepšili uživatelský dojem se zásadami stejného původu.
Co je to otisky prstů prohlížeče a jak se proti němu můžete bránit?
Přečtěte si další
Související témata
- Bezpečnostní
- Kybernetická bezpečnost
- Vývoj webu
O autorovi
Chris Odogwu je oddán předávání znalostí prostřednictvím svého psaní. Je vášnivým spisovatelem a je otevřený spolupráci, vytváření sítí a dalším obchodním příležitostem. Má magisterský titul v oboru masová komunikace (obor Public Relations a reklama) a bakalářský titul v oboru masová komunikace.
Přihlaste se k odběru našeho newsletteru
Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!
Chcete-li se přihlásit k odběru, klikněte sem
