Dankzij de Netscape-ingenieurs die het Same-Origin Policy (SOP) hebben geïntroduceerd, kunt u vrij door gevoelige webpagina's bladeren zonder uw gegevens met een andere pagina te delen.
Hoe belangrijk het ook is, het concept van dezelfde oorsprongspolitiek is voor veel internetgebruikers moeilijk te begrijpen. Dit artikel geeft je een beter begrip van hoe het werkt en waarom het belangrijk is.
Wat is het Same-Origin-beleid (SOP)?
Hetzelfde-oorsprongbeleid is een browserbeveiligingsmechanisme waarbij een webbrowser verhindert dat een ander webpaginascript en gegevens toegang krijgen tot hun gegevens en informatie. Het staat echter de scripts en gegevens van de webpagina toe die ermee correleren.
In het same-origin-beleid voorkomen browsers dat inhoud van verschillende oorsprong (webpagina's) die van hen verstoort. De regels van het beleid van dezelfde oorsprong stellen dat alle bronnen die door een browser worden geladen, hetzelfde protocol moeten hebben (kan ook worden aangeduid als schema), dezelfde URL en dezelfde poort die wordt gebruikt om de bron te bereiken.
Hier is een voorbeeld:
Stel dat u de webpagina myexample.com bezoekt en daarna example.com bezoekt. Het beleid van dezelfde oorsprong zorgt ervoor dat JavaScript van mijnvoorbeeld.com geen toegang krijgt tot de informatie op voorbeeld.com.
Het protocol is de "http", het domein is de "myexample.com" of "example.com" en het poortnummer "80". Standaard heeft elke website of webpagina dezelfde poort, namelijk '80'.
Zonder hetzelfde-oorsprongbeleid, na inloggen op mijnvoorbeeld.com, een eenvoudige JavaScript-aanroep, geladen in zijn iframe, kan worden gebruikt om de DOM-elementen (Document Object Model) van bijvoorbeeld.com. Dit zal leiden tot blootstelling aan gevoelige gegevens met schadelijke gevolgen.
Het is belangrijk op te merken dat hetzelfde-oorsprongbeleid alleen betrekking heeft op scripts. Bronnen zoals CSS, afbeeldingen en flexibel geladen scripts kunnen van verschillende oorsprong beschikbaar worden gemaakt met behulp van de juiste HTML-tags, waarbij lettertypen een opmerkelijke uitzondering zijn.
Daarom zijn alle aanvallen op de niet-scripts effectief omdat aanvallers misbruik maken van het feit dat HTML-tags niet onderworpen zijn aan hetzelfde-oorsprongbeleid. Dit is ongetwijfeld een van de tekortkomingen.
Een andere tekortkoming zijn de steeds terugkerende beperkingen op het aantal complexe bewerkingen in moderne webapplicaties.
Hoewel hetzelfde-oorsprongbeleid opmerkelijk is voor de beveiliging, heeft het meestal invloed op meerdere subdomeinen of domeinen van dezelfde organisatie. Het delen van informatie met de domeinen is moeilijk, ook al zijn ze samen.
Waarom is het Same-Origin Policy (SOP) belangrijk?
Het beleid van dezelfde oorsprong gaat niet alleen over het creëren van regels tussen webpagina's of oorsprong; het is relevant, vooral met betrekking tot cyberaanvallen. Het biedt enkele beveiligingsvoordelen voor online gebruikers bij het beveiligen van hun informatie.
Hier zijn enkele voordelen van het beleid van dezelfde oorsprong.
1. Voorkomt kwaadaardige aanvallen
Het beleid van dezelfde oorsprong helpt potentieel kwaadaardige aanvalsvectoren op een webpagina of oorsprong uit te roeien, met name op webpagina's die gevoelige gebruikersgegevens bevatten of opslaan. Het doet dit door waargenomen potentiële aanvallen uit te voeren voordat ze escaleren.
Als u hetzelfde-oorsprongbeleid implementeert op uw webpagina of browser, neemt het aantal kwaadaardige aanvallen aanzienlijk af.
2. Beperking van interactie
Het beleid van dezelfde oorsprong helpt de interactie van een script van een website met een script van een andere webpagina te beperken.
Wanneer er een beperking is in de gedeelde gegevens, zijn alle bronnen van een oorsprong in hoge mate beschermd. Een levendig voorbeeld hiervan is degene die we noemden over mijnvoorbeeld.com scoping het script van voorbeeld.com.
3. Voorkom ongeoorloofde leestoegang
Het beleid van dezelfde oorsprong helpt bij het beschermen van sites die authenticatiesessies gebruiken. Dit is te zien op sites die de "onthoud mij"-functionaliteit gebruiken.
Het beleid werkt door bevoorrechte informatie veilig te houden. Het voorkomt ongeautoriseerde leestoegang van de ene oorsprong naar de andere.
4. Effectief voor cookies
Het beleid van dezelfde oorsprong verbiedt een aanvaller om: cookies lezen of instellen op het getargete brondomein. Het voorkomt dat ze een geldig token in hun bedachte vorm invoegen. De vergunning hoeft niet op de server te worden opgeslagen, wat een bijkomend voordeel is van deze techniek ten opzichte van het timingpatroon.
Beveilig uw gegevens met het Same-Origin-beleid
Het beleid van dezelfde oorsprong is een constructie die de kern vormt van veel webbeveiligingsprocessen, waaronder DOM-toegang, JavaScript, cookies en meer.
Er zijn verschillende implementaties van hetzelfde-oorsprongbeleid voor verschillende soorten webinhoud. Evenzo zijn er verschillende definities voor hoe het beleid van dezelfde oorsprong van toepassing is op cookies, JavaScript en DOM-toegang in verschillende browsers.
Wees voorzichtiger bij het opzetten van uw site om betere beveiliging te bieden en de gebruikerservaring te verbeteren met hetzelfde-oorsprongbeleid.
Wat is browservingerafdrukken en hoe kunt u zich ertegen verdedigen?
Lees volgende
Gerelateerde onderwerpen
- Beveiliging
- Cyberbeveiliging
- Webontwikkeling
Over de auteur
Chris Odogwu zet zich in voor het overdragen van kennis door middel van zijn schrijven. Hij is een gepassioneerd schrijver en staat open voor samenwerkingen, netwerken en andere zakelijke kansen. Hij heeft een master in massacommunicatie (afstudeerrichting public relations en reclame) en een bachelor in massacommunicatie.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren
