¿Proteger los sitios web de navegadores y complementos desactualizados mediante una combinación de lista blanca / lista negra?

2

Además de usar encabezados de navegador, deseo incluir en mi lista negra / blanca los complementos y el navegador de mi sitio para evitar que estos sistemas antiguos no parcheados (1) sean usuarios generales de mi sitio (2) eliminando esos "objetivos" de los posibles atacantes alcanzan.

  

Mi objetivo es definir algún tipo de   Estándar de seguridad de punto final para usuarios.   ¿Quién accede a mi sitio, pero sin   Gestionando directamente el medio ambiente, como   son clientes.

¿Existe una forma estándar de usar listas blancas o negras para controlar el acceso del navegador a mi sitio?

Por ejemplo, quiero evitar cualquier navegador que tenga Flash desactualizado, pero quiero permitirles si no tienen Flash en absoluto.

    
pregunta random65537 06.02.2011 - 16:59
fuente

2 respuestas

6

Primero que nada : esta es la manera incorrecta de resolver los problemas de CSRF. Las vulnerabilidades de CSRF son un problema en su sitio, no en el navegador. La lista negra de ciertos navegadores no solucionará las vulnerabilidades de CSRF. CSRF no es específico del navegador y no se puede evitar a través de la lista negra del navegador.

Detección de versiones del navegador : hay varias formas de detectar qué versión de navegador y qué versión de complemento usa el usuario. Para la versión del navegador, puede utilizar el agente de usuario. Para Flash, puede utilizar el kit de detección de Flash player . Para Java, consulte la comprobación de actualización de Java de Sun. También querrá comprobar Quicktime, pero no estoy seguro de cómo hacerlo. Sin embargo, tenga en cuenta que la detección de la versión del navegador y las versiones del complemento es difícil en Internet Explorer.

Saber qué versiones son inseguras : es más difícil mantener la lista de las versiones de complementos y navegadores más vulnerables. Creo que es probablemente demasiado trabajo esperar razonablemente que un sitio ordinario mantenga. Para los navegadores, un punto de inicio parcial es lista de navegadores de grado A de Yahoo , pero no mantienen cuál versión es la última versión válida conocida y las versiones que se sabe que tienen vulnerabilidades.

Sugerencias : si debe verificar versiones de complemento y navegador obsoletas / vulnerables, le sugiero que observe detenidamente Sitio web Mozilla plugin check , que verifica si tiene alguna versión obsoleta o vulnerable del complemento instalada. Es compatible con Firefox, Safari, Chrome y Opera, y admite parcialmente IE. Es posible que desee copiar o utilizar sus métodos. Consulte también interfaz JSON de Mozilla en su base de datos de la versión del complemento.

Recomendación de línea de base : creo que estás haciendo la pregunta incorrecta. Creo que su pregunta tiene algunos supuestos ocultos y premisas que son defectuosas. La lista negra del navegador no es una forma efectiva de arreglar o mitigar las vulnerabilidades de CSRF. Y creo que la pregunta no está clara sobre el modelo de amenaza. Le sugiero que vuelva a hacer la pregunta de nuevo, esta vez comenzando con el problema real que está tratando de resolver y las restricciones en las que está trabajando, en lugar de hacer suposiciones sobre cuál es la mejor solución (por ejemplo, suponiendo que la lista negra del navegador es la clave). mejor solución).

    
respondido por el D.W. 06.02.2011 - 20:59
fuente
0

No creo que haya ninguna manera particular de lograr esto. Debe crear una lista de navegadores y complementos que sean buenos / malos, y encontrar una manera de obtener la información necesaria del agente de usuario. El problema con esto es que ciertos complementos no se agregan al agente de usuario. SilverLight no lo hizo (¿no?) Debido a problemas de compatibilidad.

Después de eso, no creo que el bloqueo de las solicitudes de este tipo de navegadores solucione los ataques CSRF porque pueden ocurrir en nuevos navegadores que están completamente parcheados, no ejecutando complementos, y si un atacante realmente intentara hacer algo extraño , podrían simplemente falsificar un agente de usuario que funciona.

    
respondido por el Steve 06.02.2011 - 18:04
fuente

Lea otras preguntas en las etiquetas