مكتبة البرمجة النصية لموقع Microsoft Anti-Cross
سؤال
أقوم بتقييم مكتبة برنامج Microsoft Anti-Cross Scripting (Antixss V3)
يجب أن أقول أنه يبدو لي أنه بصرف النظر عن توفير قائمة بيضاء أكثر شمولاً من الشخصيات المقبولة ، فإنه لا يجلب أي شيء إلى الطرف الذي لن يقوم به المبرمج المجتهد الذي قام بتشفير جميع مخرجات المستخدم/الوكيل القابلة للتعديل على أي حال.
هل أفتقد خدعة؟
المحلول
لا أعتقد أنك تفتقد أي شيء باستثناء حقيقة أن عدد المبرمجين الذين يدركون الترميز الآمن الصحيح صغير جدًا ، وأولئك الذين يمكنهم القيام بذلك بشكل صحيح لا يزالون أقل.
تتم كتابة المكتبات لتسهيل الأمور لمطورك العادي ، وأود أن أفترض أن أي مكتبة كتبها Microsoft مع الغرض الصريح المتمثل ، على عكس مطورك اليومي العادي الذي يركز على احتياجات شركتهم. (أعتقد أنهم سيضعون أهمية كبيرة في القيام بذلك بشكل صحيح ، بالنظر إلى كيفية رسم منتجات Microsoft دائمًا على أنها "غير آمنة" من قبل MS-Haters)
كموازاة ، فكر في التشفير. يمكن أن يأتي المبرمج الدؤوب خوارزمية تشفير آمنة. ومع ذلك ، تخبرك إرشادات OWASP بعدم التوصل إلى الخوارزمية الخاصة بك ، ولكن لاستخدام الخوارزميات المختبرة التي طورها الخبراء والاختبار جيدًا.
إذا كان لدينا أداة من قبل الخبراء يقومون بذلك ، فلماذا نحاول القيام بذلك بمفردنا؟ أود أن أقول أنه سيكون من الجيد استخدام مكتبة البرمجة النصية لموقع Microsoft Anti-Cross لهذا السبب وحده ، إذا كانت معلنة.