web-dev-qa-db-ja.com

AVソフトウェアはWebアプリケーション(Twitter、Facebookなど)を攻撃から保護しますか? (CSRFなど)

AVソフトウェアは、ダウンロードされた実行可能ファイルとローカルで悪意のあるアクティビティに焦点を当てており、CSRF、XSS、フィッシングURLなどのWebベースの攻撃についてHTTP/Sコンテンツを積極的にスキャンしないと言うのは正しいですか?

このクラスの脅威から保護できるデスクトップ(Mac、PC、またはLinux)にインストールできるものはありますか?

注:このサイトでは一般的に製品の推奨事項を尋ねることは眉をひそめているので、検索するキーワードまたはテクノロジーを探していますにとって。

(架空のキーワードのサンプル:Facebookファイアウォール、AV 2.0 +ソーシャルメディア保護、CSRFシールド)

1

多くの場合、ウイルス対策スイートには、悪意のあるファイルやソースがないかWebブラウジングセッションや電子メールを監視するためのフレームワークとプロセスが含まれています。さらに、ブラウザはレピュテーションベースのURLフィルタリングに移行しており、AVに関係なく、悪意のあるサイトを閲覧している場合にユーザーに通知することがよくあります。

ただし、CSRFおよびXSS攻撃に対する姿勢を強化したい場合は、ブラウザー構成とNoScript、Ghostery、HTTPS-Everywhereなどのアドオンを使用してそれに取り組むことをお勧めします。これらのアドオンは、XSSおよびCSRF攻撃を制限するだけでなく、悪意のあるコンテンツの実行を防ぎ、インターネットのプライバシーを保護することによって、優れた機能を果たします。

ソフトウェアを最新の状態に保つ、必要な場合を除いてJava)を無効にするなど、通常の提案もあります。

ブラウザのセキュリティを深く掘り下げたい場合は、NSS Labのブラウザセキュリティレビューと、Accuvant labのWebブラウザの調査をお勧めします(以下のリンクを参照)。

https://www.nsslabs.com/reports/categories/endpoint-security/browser-security

http://www.accuvant.com/sites/default/files/images/webbrowserresearch_v1_0.pdf

2
JZeolla

XSSやCSRFなどの攻撃ベクトルの主な問題は、クライアントブラウザー自体ではなく、参照されているWebアプリケーションの主な責任であるということです。どちらもOWASPトップ10のコーディングエラーに含まれており、推奨されるアプローチは、Webサイト自体でのユーザー入力の検証を修正することです。したがって、クライアントの観点から保護するためにできることはそれほど多くありません。

ただし、不正な形式のJavaScriptに依存するXSSの小さなサブセットがあると述べても、特定のバージョンのブラウザーでのみ動作します。ブラウザを最新の状態に保つと、その問題が解決します。

3
Callum Wilson

一部のウイルススキャナーには、フィッシングサイトを識別しようとする「オンラインセキュリティ」スイートが含まれていることは知っていますが、それらがどの程度うまく機能するかはわかりません。 CSRFとXSSに関する限り、これらはほとんどWebサイトに依存するため、そのために処理する必要があります。

0
AJ Henderson