Ubuntu Suomen keskustelualueet
Muut alueet => Yleistä keskustelua => Aiheen aloitti: Jere Sumell - 12.12.21 - klo:11.02
-
Selasin nettiä melko laihoin tuloksin, kun tuli mieleen viime yonä, kun olin jo pistänyt koneeni kiinni ja menin nukkumaan, aamulla jatkoin metsästämistä netissä tästä aiheesta, niin katsoin hakukoneella CORS (Cross-Origin Resource Sharing) hakutemilläa "CORS pros" ja "CORS cons", mutta ei oikein loytynyt mitään, minulle myytiin autojen varaosia ja jarruja, ja sitten sukkia, eikä niinkään loytynyt mitään ajankohtaisempaa informaatiota tähän verkkosovellustietoturvaan liittyvän kontekstin tiimoilta.
Netistä loytyy pilvin pimein artikkeleita, joissa on ohjeet eri selaimille, miten saa otettua pois käytostä tuon nykyään jo varmaan kaikissa näissä yleismmissä selaimissa on tuo Same Origin policy -ominaisuus enabloitu defaulttina turvallisuussyistä, jotka tajuan, mutta tosiaan artikkeleita loytyy pilvin pimein miten sen saa eri selaimissa disabloitua.
Itse olen IT-ammatilaisena sitä mieltä, olen tullut siihen lopputulokseen, että tuo SOp -disablointi ainoastaan on kannattavaa verkkosovelluksen kehitysvaiheessa, jos verkkosovellus sisältää kolmannen osapuolen lähteistä dataa, jota halutaan esittää tai käyttää, mutta siinäkin tapauksessa verkkopiuhat irti kannattaa vetää, niinkuin mielestäni aina pitäisi ohjelmisokehitystä tehdä offline-tilassa, mitä tosin nyt en aina itsekään pidä nettireititintä suljettuna, jos devaan jotain. Tosin tekstinkäsittelyä tehdessä oman tietosuojan lisäämiseksi vedän nettikaapalin irti seinästä ja en tallenna yleensä pilvialustoille mitään sellaista tekstidokumenttia, enkä muutakaan, jota en halua jonkin tietomurron jälkeisen tietovuodon jälkeen julkiseksi.
Ehkä yksi mielenkiintoisimmista lähteistä, jota loysin, oil Davide Danelonin tälläinen White paper bedefended.com -lähteestä tuosta CORS-turvallisuusteemasta ja dokumentti nyt niin vanhakaan ole, kun se on julkaistu tammikuussa 2020.
Suora linkki valkoiseen paperiin on tässä.
https://www.bedefended.com/papers/cors-security-guide (https://www.bedefended.com/papers/cors-security-guide)