Chrome團隊出絕招阻斷混合腳本漏洞
“混合腳本執行”漏洞通常在通過 HTTPS 傳送的頁面加載通過 HTTP 傳送的腳本、CSS 或插件資源時出現。中間攻擊者(如處于同一無線網絡的用戶)通常能截取 HTTP 資源加載,并對加載資源的網站獲取完全權限。情況糟糕的話跟沒用 HTTPS 一個樣。
稍輕但類似的問題——暫且稱之為“混合顯示”漏洞——通常在通過 HTTPS 傳送的頁面加載通過 HTTP 傳送的圖像、iFrame 框架或字體時出現,但只能影響頁面外觀。
瀏覽器長期以來使用不同的指示符、情態動詞對話框、攔截選項甚至是點擊確認等方法將這些情況告知用戶。如果網站頁面存在混合腳本執行問題,Chromium 當前會在 Omnibox 中這樣指示:
混合顯示內容會這樣指示:
如果網站有 HTTPS 頁面顯示帶紅叉的 https,就非常值得主動調查了:
- 網站在其他主流瀏覽器(如 IE9 或 FF4)中會因為點擊確認對話框與丑陋的情態動詞對話框而難以正常顯示。
- 可能存在危害整個 HTTPS 連接的安全漏洞。
自 Chromium 14 的首個版本 (14.0.785.0 canary) 起,Google 將開始測試默認攔截混合腳本。當攔截到混合腳本時會出現這樣的信息欄:
作為用戶,可以選擇不應用攔截而重新加載。理想情況下,將來的信息欄將不再保留允許用戶繞過攔截的選項。Google 安全團隊的經驗表明,有些用戶即使在最可怕的警告信息面前也會點擊“允許執行”——完全不顧可能的后果。
幫助站長分析的工具
如果 Chromium 的 UI 顯示網站上存在混合內容問題,可以嘗試 Google 的開發工具定位問題。有用的信息通常記錄在 JavaScript 控制臺 (菜單 -> 工具 -> JavaScript 控制臺):
站長還可以打開“網絡”選項卡重新加載頁面,并查找通過 http:// 協議傳送的內容。值得注意的是,混合腳本得以執行時,整個原始頁面都會受到影響,因此需要查看所有引用了發現的來源的標簽頁的控制臺。要清除錯誤,所有引用了有害來源的標簽頁都要關閉。特別棘手的情況是不清楚來源如何產生危害,這時還可以啟用命令行控制臺調試功能查看相關的警告信息。
Chromium 13 提供了命令行標記 --no-running-insecure-content。Google 建議站長與高級用戶附帶該標記運行 Chrome,以便清理有問題的網站。(還針對較輕級別的混合內容問題提供了 --no-displaying-insecure-content;Chromium 14 尚無計劃默認攔截此內容。)
而 Chromium 14 將提供相反的標記: --allow-running-insecure-content,方便使用未能及時修正這些錯誤的內部應用程序的用戶與管理員。
原文:http://www.guao.hk/posts/google-chrome-trying-to-end-mixed-scripting-vulnerabilities.html
【編輯推薦】
