Для того чтобы не стать жертвой хакеров, надо очень аккуратно ходить по Сети

Хакеры постоянно ищут новые способы атаки на Web-сайты и их посетителей. В частности, в начале мая была опубликована статья, в которой описывался способ воровства меток cookie с помощью языка Flash. Суть предложенного метода в использовании Flash-ролика, в котором есть функция обращения к JavaScript, который собственно и занимается воровством конфиденциальной информации. От такого опосредованного вызова JavaScript до недавнего времени существующие механизмы защиты не спасали. Уже в середине мая появилась статья, в которой автор приводил пример подобной атаки на службу «Яндекс.Паспорт». Правда, статью завершала фраза о том, что ворованная метка cookie от «Яндекс.Почты» очень быстро прекращает действовать, однако тестовый пример нападения был вполне работоспособным.

В современной Сети «ничему нельзя доверять» — вредоносная программа может таиться в любом сообщении и файле любого формата

Так или иначе, разработчики «Яндекс» на следующий день запретили доступ к Flash-роликам. Вот как комментирует ситуацию Елена Колмановская, главный редактор «Яндекса»: «Мы этой проблемой озаботились и временно сделали так, что Flash-ролики нельзя открыть прямо в Web-интерфейсе почты. Это касается не только Flash, но и Java-апплетов и других форматов, которые открываются с помощью дополнительных модулей браузера».

В чем же опасность Flash? Проблема возникает, когда сайты позволяют своим посетителям оставлять сообщения, которые в дальнейшем становятся доступны всем. В частности, именно для этого предназначены такие элементы сайтов, как «форум», «книга отзывов» или «комментарии». Через них хакеры могут совершать нападения на посетителей сайта. Такие нападения получили название Cross-Site Scripting («нападение с помощью сценария, внедренного в сервер»), или XSS.

Для организации XSS-атаки хакер помещает в свое сообщение на форуме специальный код, который будет исполнен в браузере посетителей. Чаще всего внедряется код JavaScript, который ворует конфиденциальную информацию из меток cookie или загружает на компьютер посетителя троянскую программу. Аналогичные возможности для нападения предоставляют и почтовые сообщения, которые просматриваются через Web-интерфейс. Именно такая опасность и возникала в Web-почте «Яндекс», на которую хакер мог послать письмо с вложенным в него потенциально опасным Flash-роликом.

Впрочем, порталы научились бороться с XSS-атаками, поскольку для защиты от них достаточно фильтровать определенные HTML-тэги. В качестве иллюстраций можно указать два открытых проекта: SafeHTML от «Яндекса» и cleanhtml.pl, входящий в состав системы управления блогами livejournal.org.

Общие рекомендации по защите от XSS-атак «со стороны сервера» предлагает Павел Завьялов, руководитель сервиса «Яндекс.Почта»: «Во-первых, не хранить в метках cookie информацию, которую стоит красть, особенно в открытом виде. Во-вторых, фильтровать в HTML опасный код, такой как сценарии, фреймы или структуры iframe всех видов. В-третьих, выносить подозрительные объекты в другой домен, из которого cookie от основного сайта недоступны.

Существует также множество Web-проектов, которые не заботятся о защите своих пользователей от подобных нападений. Даже наоборот, ходят слухи, что Web-дизайнеры подрабатывают на заражении своих посетителей с помощью сценариев на JavaScript. Именно так пополняются зомби-сети для распространения спама.

Итак, пользователю сегодня надо очень аккуратно ходить по Web, чтобы не стать жертвой хакеров. 


Хронология событий

Похоже, любая новая услуга вызывает у ханкеров желание приспособить ее к своим нуждам. И оперативности им не занимать