måndag 27 april 2009

Vitlistor och policies mot XSS

Computer Swedens Jenny Stadigs intervjuade mig förra veckan efter forskningsseminariet i Tyskland. Artikeln publicerades idag under rubriken "Inför vitlistning på webben".

För er som är intresserade av lite kringläsning rekommenderar jag följande:

BEEP, Browser-Enforced Embedded Policies, (AT&T Research och University of Maryland)
Servern skickar med en policy för vilka skript som får köras i sidan

ECMAscript, det officiella JavaScript/JScript
Edition 5 (tidigare 3.1) har precis kommit i "final draft"
Edition 6 "Harmony" är framtiden

FBJS, Facebook JavaScript
Facebooks dialekt av JavaScript som hindrar att inbäddade skript körs automatiskt

Caja
Googles dialekt av JavaScript som gömmer känsliga data och funktioner

Inga kommentarer: