Categories
SEO

WardeRrayBuffer Advertencias en la consola de búsqueda: aclarando una nueva política de seguridad de aislamiento de origen cruzado

Las páginas que enfrentan las web son una zona de batalla de seguridad de la información mientras luchamos contra los hackers que intentan robar secretos de la compañía. Las páginas web modernas a menudo aprovechan los recursos de más de uno de origen (dominio). A medida que los montajes de seguridad relacionados con las preocupaciones de seguridad que afectan las nuevas características, los webmasters tienen una lista de las opciones en crecimiento de los fabricantes de navegadores, incluidos los de los recursos de “origen cruzado” para ayudar a prevenir las fugas de la información.

Medidas de seguridad

Es posible que ya esté familiarizado con rel = "noopener" , una forma de asegurarse de que los enlaces de hipertexto y formulen elementos con acciones salientes, como enlaces que abra otro sitio en una nueva pestaña del navegador , no permita que una página externa acceda a una página interna a través de la propiedad . 3. Propiedad.

Imagina haciendo clic en un enlaceEso abre una nueva pestaña. Cuando cierre la nueva pestaña, la página original se cambió en secreto a uno con señuelos de phishing. Los fabricantes de navegadores quieren proporcionar una configuración de seguridad sofisticada para los webmasters para que podamos bloquear los dominios de bloqueo y “Permitir-lista” que pueden usar, por ejemplo, la propiedad Window.oper para evitar exactamente tales ataques.

Es posible que haya visto referencias al campo de encabezado de respuesta a recursos compartidos ( CORS ). Los valores de CORS (

Control-Control-Permitir – *

) Limitarán el acceso a solo un conjunto de dominios que especifique como una lista. Cuando su página incluye análisis, anuncios y otros recursos de script de terceros, aquellos que no están específicamente en una lista Permitida (cuando usa CORS) se bloquean y activarán los mensajes de error de la consola de navegadores para que seOW.

Meltdown de espectro Cuando las cosas se calientan demasiado, es más seguro apagar una función de navegador por completo. Eso es lo que sucedió con ShardeRrayBuffers cuando los fabricantes de navegadores se apagaron para abordar los problemas en la carretera. Después de un Prueba de concepto demostró una vulnerabilidad de “canal lateral” dentro de los 6 meses posteriores a su debut en 2017,

ShardeRrayBuffers

fue marítimado en 2018 hasta hace poco, en enero de 2021. En pocas palabras, un ataque de condición de raza permitió un acceso injustificado a un caché de memoria privada en CPU vulnerables (

Spectter

), que a su vez permite el acceso teórico por una página de malware en otras páginas que un usuario puede tener abierto en otro contexto del navegador (sesión). La fuga de información de ese tipo de ataque puede constituir altamente sensibilizaciónIVE, identificando personalmente la información que puede exponer uno al robo de identidad, y potencialmente permitirá los ataques específicos contra las organizaciones, incluidos los sistemas gubernamentales. El Android Chrome 88 y el escritorio de Chrome 91 de Google, más Firefox 79+, todos los implementos ShareDarrayBuffers

nuevamente después de que decidieron que una nueva configuración de política de seguridad mitiga el peligro de acceso de terceros a la memoria privada. El acceso a la memoria compartida está bloqueada para todos los recursos que no están específicamente en una lista Permitir después del protocolo como se describe en las nuevas directivas de respuesta HTTP.

Fallas silenciosas API de

WebGlrenderingContext

pic.twitter.com/v02i6nh6ix

– Joost de Valk (@jdevalk) 15 de marzo de 2021

Implementación de la nueva Política de Seguridad

Ha sido una mejor práctica para establecer una política de seguridad con CORS como perímetro alrededor de solo los recursos de terceros que usted intención de usar. Sin una política de seguridad en su lugar,

Los recursos de terceros

ya causan un estragos ya, y mucho menos. Potencialmente fugan tus secretos. Desea permitir: listar recursos que fallan con un “

Desconfianza por defecto “Política de seguridad. Solo trabajar intencionalmente de fallas (scripts bloqueados), ¿desea agregar a su lista de permisos para limitar el riesgo. Las configuraciones deben configurarse utilizando los encabezados de respuesta HTTP de la página HTTP de los puntos de entrada. Cuando administra su propio servidor web, puede editar encabezados de página utilizando la configuración de configuración en el marco o la pila de tecnología que alimenta su sitio web. Alternativamente, algunas redes de entrega de contenido (CDN) ofrecen la capacidad de cambiar los encabezados de respuesta sobre la marcha. De cualquier manera, es una cuestión de agregar nombres de campo y valores, una directiva por línea. Aislamiento de origen cruzado

El entorno de seguridad en el que se bloquea el acceso, al tiempo que permite la nueva implementación de ShareDarrayBuffers , se llama

 Aislamiento de origen cruzado . Para configurar 
Aislamiento de origen cruzado
, agregue dos nuevos encabezados de página, Coop y COEP, como se muestra a continuación, que funcionan en conjunto con uno o más otros encabezados de seguridad, a saber, CORS y

CORP

, que individualmente o en combinación proporcionan sus dominios de origen de origen en la lista blanca.

Política de integración de origen cruzado: Requerido-CORP Política de abridor de origen cruzado: MISMO ORIGEN Google usa la API de reporte de código abierto

para recopilar acciones que tienen lugar contra estas políticas de seguridad. Cuando un número significativo se acumula, puede intentar encontrar una manera de notificarle, como parece que parece ser el caso cuando se encuentra un usuario de la consola de búsqueda de Google.

  Un informe de cromo específico  a 

El campo de encabezado de la página se puede utilizar para transmitir datos a su propio representanteOsitory, aunque es mucho más fácil de simplemente revisar el estado booleano de la propiedad

transforminisolada

de la API experimental

WindowWorkEnerglobal

durante el desarrollo. De esa manera, usted puede manejar estos problemas directamente desde su flujo de trabajo de desarrollo.

Si (Crossoriginisolated) {// Post ShardeRRAYBUFFER Console.log (“CrossOriginisolation: True”)} else {// do algo más console.log (“crossoriginisolation: false”)} Por qué nos importa Dado que las fallas de las mejores prácticas de la política de seguridad ya están activando las advertencias en el faro y los mensajes de error en las consolas del navegador, Y en este caso, el servicio de consola de búsqueda de Google, debemos comprender los detalles para ofrecer nuestros consejos para qué hacer. Si estamos involucrados en el desarrollo web,Luego, queremos tener información específica preparada para que podamos guiar o realizar la implementación de una solución como parte de nuestro trabajo.


Para más información como esta, consulte
SMX SEO para desarrolladores. Taller , destinado a proporcionarnos una plataforma para discutir los problemas técnicos que enfrentamos, lo que puede ser único para buscar los profesionales de optimización de motores. En un entorno de taller de código en vivo, a menudo demostramos lo que hacen los desarrolladores Web Savvy de SEO cuando se enfrentan a estos problemas, y más. La seguridad de la información es importante, como lo demuestra ShardeRrayBuffers , Cambios en la política de cookies , y muchos más asuntos es probable en el horizonte.

Leave a Reply

Your email address will not be published. Required fields are marked *