2012-02-23 3 views
31

Perfidies/Plugindir jest klientem pod numerem Mozilla's plugin vulnerability database. Myślę, że wariant tego jest używany tutaj na this site geared for end users.Jak zintegrować skaner podatności Perfidies (przeglądarki wtyczek przeglądarki) z moją witryną?

Chciałbym przekierować dowolną przeglądarkę, która używa starej wersji Java, Silverlight, Flash, itp na stronie „kwarantanny” z prośbą, aby uaktualnić swoją przeglądarkę, zanim zostaną one dopuszczone do logowania.

  • Jakie zmiany techniczne muszę wprowadzić, aby to osiągnąć?

  • Co muszę wiedzieć o konkretnych obiektach javascript w Perfidies?

  • Czy są jakieś zastrzeżenia dotyczące wdrożenia lub modyfikacji, które powinienem wprowadzić?

... ...

+0

Obawiam się, że pytanie jest chyba poza zakresem dla tutaj: już zdecydowałeś się na kontrolę bezpieczeństwa, którą chcesz zaimplementować (decyzja została podjęta bardzo źle, ale nie jest to istotne dla twojego pytania :-), a teraz musisz tylko uporządkować uciążliwe szczegóły dotyczące implantów. Jedna z wymian stosu dla twórców stron internetowych może dać ci znacznie lepszą pomoc. –

+0

@ Komentarz GrahamHill jest częściowo poprawny. Szczegóły implementacji i sposób jej kodowania mogą być lepsze na przykład SO (zakładając wystarczającą popularność, że jest wystarczająco dużo innych programistów, którzy go wdrożyli). Jednak twój trzeci punkt jest zdecydowanie tematem - inne kwestie do wzięcia pod uwagę. – AviD

+2

Oznacziłem go, aby przejść do Stackoverflow. @GrahamHill Jeśli kwestionujesz moje wykorzystanie tego, proszę [skomentuj tę odpowiedź] (http://security.stackexchange.com/a/12039/396).Byłbym zainteresowany usłyszeniem twoich myśli – LamonteCristo

Odpowiedz

1

Należy dostarczyć trochę więcej kontekst na swoje pytanie. Postaram się ci pomóc, sugerując jednak sposób na zrobienie tego.

Wspomniałeś, że chcesz uniemożliwić użytkownikom logowanie, więc myślę, że najlepszym sposobem na to jest umieszczenie kodu walidacyjnego na stronie logowania, tak jak javascript. Pamiętaj, że skoro skrypt jest wykonywany na kliencie, nie ma gwarancji, że naprawdę zostanie wykonany, a doświadczony użytkownik może ominąć twoją "ochronę" przez np. wyłączanie skryptów. Ale jeśli jesteś w intranecie i na ogół ufasz swoim użytkownikom, nie powinno to być dużym problemem.

Aby nauczyć się korzystać z Perfidies, polecam spojrzenie na następujący plik, który powinieneś być w stanie zmienić na swoje potrzeby (nie testowane!). https://github.com/ozten/Perfidies-of-the-Web/blob/master/plugincheck_ui.js

Główną funkcją wywołania jest Pfs.findPluginInfos(Pfs.UI.navInfo, browserPlugins, incrementalCallbackFn, finishedCallbackFn). W wersji incrementalCallbackFn otrzymujesz wszystkie wrażliwe wtyczki. Jeśli taki istnieje, możesz przekierować przeglądarkę na swoją stronę.

Wyświetl stronę z odnośnikami, aby zobaczyć, jak wypełnić inne parametry funkcji.

Jeśli chodzi o wdrażanie, pozwoliłbym w pewien sposób pominąć tę weryfikację, ponieważ zawsze są przypadki, w których chcesz umożliwić wyjątkowy dostęp. Jeśli twój szef potrzebuje raportu w 5 minut, nie chcesz mu mówić, że musi najpierw zaktualizować swoją wersję Java, tylko dlatego, że wczoraj była aktualizacja, która prawdopodobnie jeszcze nie jest jeszcze wykorzystywana.

Więc może pokazać duże czerwone ostrzeżenie dla użytkowników próbujących uzyskać dostęp do strony, ale dać im sposób zignorować ostrzeżenie, jeżeli zdecydują się ...