השימוש המוגבר ב- AJAX וב- mashup מחזיר חזרה את הכבוד האבוד של frames לדפי האינטרנט.
אם בעבר שימוש ב- frames וחס וחלילה שלא נזכיר IFrame היו נחשבים כדבר שגוי היום כדי להיות אתר מתקדם זה פשוט Must – ראו לדוגמא את אפליקציות פייסבוק כמעט כולן מוצגות למסך בתוך IFrame.

השימוש ב- Frame פנימי באתר שלכם מעלה סוגייה חשובה של אבטחה – בעצם אתר כלשהו מארח בחלקתו אתר אחר – שטח זה הוא ללא שליטת האתר המארח אבל בהחלט עלול לפגוע בתדמיתו אם ינוצל למטרות זדוניות. קחו לדוגמא אפשרות שבה אתר מהימן מארח אפליקציה חיצונית ב- Frame שנפלה קורבן להתקפת האקרים וכעת מכילה קוד זדוני – משתמשי האתר המהימן נופלים קורבן לקוד זה.

חשוב במקרה הזה לנצל את יכולות ה- Zones של הדפדפן.
החלוקה לאזורי ביטחון מאפשרת למשתמשים להגדיר אילו אתרים משתייכים לאילו אזורים ומהן ההרשאות שהם מוכנים לתת לאזורים אלו.

כדי לשמור על בטחון ואמינות המשתמשים שלנו במידה ואנחנו משאפים (עושים mashup) עם אפליקציה אחרת – מארחים אותה באתר שלנו – רצוי להגדיר את אזור הארוח ב- Zone שהוא restricted או רמת אבטחה אחרת שאנחנו מוכנים להעניק לאתר תלוי ברמת הבטחון שיש לנו לגביו.

ההגדרה היא פשוטה – נניח שאנחנו רוצים לארח את האתר www.badsite.com:
<iframe src=”http://www.badsite.com/badpage.aspx” security=”restricted”></iframe>

הפרמטר security יגביל את יכולות האתר כשהוא פועל בשטחנו כך למשל Javascript לא יתאפשר בתוך האתר (אלא אם כן המשתמש בעצמו שינה את הגדרות ברירת המחדל של האבטחה בדפדפן)

שמרו על בטחון ותדמית האתר שלכם.

קובי מגנזי, Kobi Magnezi

This entry was posted on January 21, 2008 at 09:06. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Posted in Development Security Web by admin View Comments