Офлайновые веб-сервисы упрощают кражу данных

image

Теги: Google, Gmail, Black Hat, хакер

Эксперты в области компьютерной безопасности предупреждают о том, что новые функции сайтов, позволяющие их использование в офлайновом режиме - без подключения к интернету, - могут стать привести к тому, что все данные пользователя могут стать добычей хакеров.

Эксперты в области компьютерной безопасности предупреждают о том, что новые функции сайтов, позволяющие их использование в офлайновом режиме - без подключения к интернету, - могут стать привести к тому, что все данные пользователя станут добычей хакеров.

На проходящей в Вашингтоне конференции Black Hat специалист по кибербезопасности Майкл Саттон рассказал об опасностях, которые могут угрожать пользователям в связи с развитием офлайновых веб-сервисов.

Офлайновые веб-сервисы становятся все более популярными. В качестве примера можно привести почтовую службу Gmail, веб-интерфейс которой способен практически полностью функционировать при отсутствии соединения с Интернетом. Этот сервис Google не единственный , который обладает таким полезным свойством. Используется для этого приложение Gears.

На практике такой функционал достигается за счёт формирования локальной копии части базы данных сервера на клиентском компьютере. По словам Саттона, именно здесь и кроется опасность. Если веб-сайт является уязвимым к хакерским атакам (Саттон упоминает SQL-инъекции и межсайтовый скриптинг), то в этом случае компьютер пользователяттакже становится уязвимым: информация из его локальной базы данных может попасть в руки злоумышленников. Причем данная угроза не является чисто теоретической: эксперт проверил свои догадки на практике, воспользовавшись уязвимостью некоего ресурса Plymo (эта уязвимость уже устранена по его наводке).

Наиболее вероятный сценарий, которым будут пользоваться киберпреступники, по мнению Саттона, заключается в рассылке своеобразных фишинговых писем, которые будут завлекать пользователей не на фальшивые сайты, а на вполне легитимные, но уязвимые веб-ресурсы. После этого с помощью браузера пользователя злоумышленники смогут добраться до данных из офлайновой базы.

При этом совершенно неважно, насколько хорошо защищён компьютер пользователя: никакой антивирус здесь не поможет. Также неважно, насколько хорошо продумана защита инструмента, который позволяет организовать работу в офлайне. Важно то, насколько ответственно к вопросам безопасности относятся администраторы ресурсов, предоставляющих офлайн-сервисы.

"Gears является фантастической разработкой, и компания Google проделала огромную работу для того, чтобы сделать ее по-настоящему безопасной, - говорит Саттон. - Однако, применяя ее на уязвимом для хакерских атак сайте, вы подвергаете своих клиентов опасности".

Помимо приложения Gears, способного работать в ОС Windows, Mac OS X и Linux — то есть едва ли не на всех компьютерах, Саттон также упоминает находящуюся в стадии разработки спецификацию HTML 5. Здесь также предусматривается взаимодействие браузера с сайтами при помощи локальных БД, и эта возможность уже частично реализована в Apple Safari. Очевидно, что количество офлайновых веб-сервисов будет расти, причём очень быстрыми темпами.


или введите имя

CAPTCHA
Страницы: 1  2  
58797
19-02-2009 17:42:46
могут стать привести к томуновости читают кто?
0 |
ононим
20-02-2009 08:43:42
+500, глаза режет. как будто для гастрбайтеров из ближней азии пишут.
0 |
ВыньОпух
19-02-2009 18:07:16
Не понял. А что еще не все броузеры предотвращают передачу кукисов с других сайтов на мыло или сайт злоумышленика?
0 |
фетиш-мастер [Малиновые штаны]
19-02-2009 18:23:29
ну, во-первых сессии тут нипричем. в нормально спроектированных системах кража пользовательского сида не страшна; во-вторых это обычный гнилой пиар явно заказного характера. т.к. если зараза проникла на комп, то даже если оффлайнового хранилища нет, то при первом-же онлайн-коннекте хозяин заразы получит пользовательский аккаунт;
0 |
Администратор
19-02-2009 18:11:59
Google выпускает public трояна Gears. 88888888888888888888888888888888888888888
0 |
Microsoft
19-02-2009 18:46:40
Не новости, а п..дец какой-то в последнее время на секлабе!
0 |
Не линупс
19-02-2009 18:58:37
ну напиши нам о том что вышло новое убогое кде или бибилиотека какая обновилась, токо кому ето интересно будет?
0 |
не виндубс
19-02-2009 19:05:55
Напиши как обновилась очередная дырка в убогом ие в убого выньбле. Однако, мне зачет за капчу. 18002
0 |
19-02-2009 19:09:23
могут стать привести к томуйа, йа, чайна спикинг джёрман инглиш... фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_фильтры_
0 |
Страницы: 1  2