Co to jest zasada tego samego pochodzenia?
Same Same Origin Policy (SOP) to urządzenie zabezpieczające dla niektórych typów aplikacji przeglądarki w Internecie. Podczas korzystania z komputera w sieci o dużej skali, takiej jak Internet, możliwość ataku hakerów i innych złośliwych podmiotów jest znacznie większa w porównaniu do pracy w mniejszych, izolowanych sieciach. Ta sama zasada pochodzenia sprawdza poprawność skryptów działających na stronach internetowych, zapobiegając nawiązywaniu przez hakerów połączenia z komputerem przy nieuczciwych parametrach. Skrypty to po prostu programy lub aplikacje, których działanie wymaga strona internetowa.
Podczas łączenia ze stroną internetową połączenie odbywa się przez „porty” na komputerze. Nazwa jest dość opisowa; porty są otwarte lub zamknięte w zależności od okoliczności, przy czym tylko otwarte porty są podatne na atak. Gdy witryna internetowa żąda określonego połączenia portu z komputerem, naraża komputer na pewne ryzyko. Tak długo, jak port pozostaje otwarty, inne osoby i programy online mogą próbować „podłączyć się” do komputera przez lukę. Inne osoby i programy mogą również próbować udawać stronę internetową, prosząc komputer o otwarcie również innych portów.
Właśnie tam wkracza ta sama zasada pochodzenia. Pomyśl o tej samej polityce pochodzenia jako rodzaju ciągłego wirtualnego zapytania między stroną internetową żądającą otwarcia portu a komputerem. Witryna musi stale „udowadniać”, że jest tym, kim jest i czym mówi, aby uniemożliwić innym wskakiwanie i korzystanie z otwartego połączenia na komputerze. Ta sama zasada pochodzenia zezwala na uruchamianie skryptów tylko pod warunkiem, że pochodzą one z zamierzonej strony internetowej, spełniając „pytania” zadane przez SOP.
Aby to sprawdzić, ta sama zasada pochodzenia sprawdza trzy rzeczy: nazwę domeny, protokół warstwy aplikacji oraz konkretne numery portów dokumentu lub strony internetowej z uruchomionym skryptem. Nazwa domeny to konkretna nazwa witryny. Zazwyczaj poprzedza go przedrostek „www”. Protokół warstwy aplikacji jest metodą połączenia; na przykład HyperText Transfer Protocol (HTTP) lub File Transfer Protocol (FTP). Wreszcie numer portu to konkretny numer portu, przez który odbywa się połączenie. Jeśli te trzy rzeczy się sprawdzą, skrypt zostanie uruchomiony; w przeciwnym razie SOP uniemożliwia jego działanie.
Jak wszystko, co dotyczy komputerów, SOP nie jest nieomylny. Niektóre rodzaje ataków hakerskich, takie jak ponowne powiązanie serwera nazw domen i serwery proxy, pozwolą fałszywej witrynie na udawanie legalnej. Dlatego SPO należy traktować tylko jako jedną linię obrony przed zagrożeniami online.