Um rascunho do editor para orientações de desenvolvimento da web pós-Spectre foi disponibilizado pelo W3C.
O W3C está preparando diretrizes para desenvolvedores da web para melhor garantir que seu código esteja protegido contra possíveis explorações por vulnerabilidades de segurança do Spectre . Spectre tornou-se público desde janeiro de 2018 e existem preocupações em torno do JIT'ed JavaScript. Tornado público recentemente, porém, foi o primeiro exploit "totalmente armado" para Spectre, além do código de prova de conceito inicial.
O rascunho do editor de "Post-Specter Web Development" descreve recomendações para o tratamento de solicitações, restringindo a capacidade de qualquer invasor de carregar dados como um documento ou sub-recurso, evitando ataques de confusão do tipo MIME e restringindo a capacidade de qualquer invasor de lidar com o janela.
Pós-Spectre, precisamos adotar algumas novas estratégias para um desenvolvimento web seguro e protegido. Este documento descreve um modelo de ameaça que podemos compartilhar e um conjunto de recomendações de mitigação.
TL; DR: Seus dados não devem entrar inesperadamente no processo de um invasor.
O rascunho atual pode ser encontrado em w3c.github.io .
Até a próxima !1
Nenhum comentário:
Postar um comentário