Проект Mozilla представил протокол Plug-n-Hack
25 августа 2013 года
Разработчики из проекта Mozilla выступили с инициативой продвижения нового протокола Plug-n-Hack, нацеленного на предоставление средств для интеграции с браузером инструментов для исследования безопасности. Plug-n-Hack позволят упростить и унифицировать процесс подключения к различным браузерам компонентов, способных контролировать потоки обрабатываемой информации и тестировать безопасность, не требуя при этом написания специфичных для каждого браузера дополнений.
Например, для анализа HTTP/HTTPS-трафика применяются внешние инструменты, которые запускаются и настраиваются отдельно, но, как правило, используются бок о бок с браузером, что приводит к необходимости многократного переключения между утилитой и браузером. Plug-n-Hack позволяет интегрировать поддержку обращения к подобным инструментам непосредственно в браузер. Для организации потоков данных в Plug-n-Hack используются уже поддерживаемые механизмы, напоминающие организацию работы через прокси-сервер, вместо которого выступают инструменты для анализа безопасности.
Текущая реализация протокола позволяет приложениям сообщать браузеру о своих возможностях, которые могут вызываться из браузера, передавать настройки прокси, SSL-сертификат и список обрабатываемых команд. В дальнейшем, исследователь безопасности, подключивший инструмент через Plug-n-Hack, может обращаться к нему непосредственно из консоли для web-разработчика и сразу просматривать результат. Из планов на будущее также отмечается реализация средств для решения обратной задачи: браузер сможет декларировать список своих возможностей в рамках протокола Plug-n-Hack, что позволит задействовать браузер в качестве дополнения к внешнему приложению.
В настоящее время поддержка протокола Plug-n-Hack уже доступна для Firefox. Разработчики надеются, что производители других браузеров присоединятся к инициативе и добавят поддержку Plug-n-Hack в свои продукты. В инструментах для исследования безопасности достаточно будет реализовать поддержку Plug-n-Hack, чтобы полностью автоматизировать настройку интеграции инструмента с любым браузером, поддерживающего предложенный протокол. Среди инструментов для которых уже обеспечена поддержка Plug-n-Hack отмечается система всестороннего анализа веб-сайта на уязвимости OWASP Zed Attack Proxy.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
