Ситуация с защищенностью программ электронной коммерции плачевна.

Огромное число дыр в защите программ, уязвимость для многочисленных эксплоитов, недоработки в самой структуре приложений – вот основной вердикт сорока пяти самым распространенным программам электронной коммерции, вынесенный фирмой @stake, занимающейся консультациями по вопросам компьютерной безопасности. По словам представителей @stake, ситуация в этом секторе рынка не просто печальная, а почти безнадежная.

Из результатов проверки следует, что почти половина (47 процентов) таких приложений имеют критические ошибки защиты, пригодные для немедленного использования хакерами, что в каждом случае может привести к финансовым потерям организаций, использующих такую систему, их клиентов, потерю репутации производителя и т.д. И все эти ошибки вполне могли быть обнаружены и устранены еще на стадии создания программы, но разработчики, видимо, даже не удосужились провести элементарную проверку своего изделия. Все программы электронной коммерции оказались уязвимыми, правда, в половине программ все же обнаруженные дефекты не были критически опасными. Лучшие в этой категории приложения содержали в пять раз меньше ошибок, чем самые уязвимые.

Отдельно оценивалась система безопасности при беспроводном соединении. Методология включала просмотр кода, изучение архитектуры и дизайна прикладных программ и, естественно, моделирование нападений. Все испытания проводились @stake с письменного согласия производителей при условии неразглашения технических деталей.

В результате, были обнародованы общие тенденции: недостаточная суровость в проверке вводимых данных, что приводит ко множеству проблем, наиболее распространенной из которых является переполнение буфера; недостатки безопасной идентификации и управления доступом в пределах приложения. Защита пользовательского сеанса вообще оказалась "ахиллесовой пятой" практически всех программ электронной коммерции.

Девять классов обычных недостатков защиты было выявлено: идентификация/контроль доступа, управление конфигурацией, алгоритмы криптографии, предоставление информации, проверка правильности ввода, манипулирование параметрами, хранение конфиденциальной информации и управление сеансами.

Ави Корфас, вице-президент @stake сказал, что корень проблемы состоит в традиционном методе создания приложений, при котором используются готовые, изначально уязвимые модули и библиотеки. И, конечно, множество проблем в защите достаются программам «в наследство» от используемых операционных систем. Так, по его данным, более 70 процентов идентифицированных проблем в защите было вызвано именно ошибками операционных систем, готовых модулей и дизайна, и лишь менее30 процентов – непосредственно в выполнении.