11 Ноября, 2012

Вырежьте мне рекламу

InfoWatch
Просят тут прокомментировать новый тип атаки "Man-in-the-Browser" . Суть его в том, что троянская программа имеет форму плагина к браузеру. А плагин (он же адд-он) как раз для того и придуман, чтоб перехватывать html-код, вырезать из него ненужное и вставлять нужное прозрачно для пользователя. Вот троянистый плагин перехватывает и вставляет. Прозрачно. Ненавязчиво. Только не на благо, а во вред.

Это – грабли, господа. Почти с каждой технологией из ИТ случалась аналогичная история. Протокол SMTP придумали с прицелом на надёжность доставки, а о непрошенных сообщениях (спаме) не подумали. Потом уже поздно было всё менять. Доступ к оперативной памяти для программ не снабдили механизмом авторизации ради скорости и универсальности. И на этом живёт чуть не половина всех уязвимостей. Виртуализация компьютерных ресурсов упрощает и удешевляет управление ими. Но под покровом виртуальности плодятся новые НДВ.

Вот и браузерные плагины теперь обернули свои особенности против пользователя. Их придумали ради комфорта и ради расширения круга разработчиков. О безопасности при этом, выходит, опять не думали?

comments powered by Disqus