24.11.2017
Интернет безопасность

Заблуждения про безопасность в интернете

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

Британское издание The Register опубликовало статью под названием "Почему интерфейс современных браузеров вредит безопасности или как минимализм стал плохим". В статье отмечается, что безопасность сегодня стала главным лозунгом, и ради нее готовы на все.

Даже замедлить целый интернет, чтобы дать ощущение большей защищенности. Однако мало кто при этом задумывается, действительно ли в интернете становится безопаснее? Например, переход с http на https не защищает пользователя или сервер, который отдает ему данные от взлома. А инженер-разработчик Google Chrome Эрик Лоуренс также говорит, что безопасность ухудшают и интерфейсы современных браузеров, хотя на бумаге они, опять же, всеми силами ее повышают.

По словам эксперта, сегодня разработчики браузеров находятся на некой «линии смерти», с одной стороны которой доверенный контент, с другой – сфера фишеров и киберпреступников. При этом эта линия с каждым годом размывается все больше. Границу между этими двумя безопасной и вредной территориями проходит по адресной строке браузеров и открытыми веб-страницами.

«Если пользователь доверяет пикселям над «линией смерти», ему кажется что он в безопасности, – говорит Лоуренс. – Однако если его убедят доверять пикселям под этой линией, они «погибнут».

Браузеры пытаются противостоять злоумышленникам с помощью небольших иконок рядом с адресом сайта. Щелкнув на нее, можно получить больше информации про использование HTTPS, запросы местоположения и тому подобное. Но эти самые иконки открывают путь для атаки злоумышленников, которые учились их подделывать, а кнопки блокировки превращают на ссылку для загрузки вредоносного ПО.

Читайте также: Протокол HTTPS: Google за безопасность

В 2005 году в Firefox обнаружили «дыру» в фавиконах – крошечных логотипах сайтов, которые отображаются на вкладках. Она позволяла выполнять удаленный код.

Меньше интерфейса на руку злоумышленникам

Следующий этап размытия границ «линии смерти» произошел в 2012 году, когда Microsoft перевела интерфейс Internet Explorer в Windows 8 на минималистичный стиль. Лоуренс тогда работал в команде разработчиков этого браузера и протестовал против такого решения. По его мнению, оно делало «линию смерти» похожей на контент.

«Internet Explorer разрабатывали с философией «контент над технологичными инструментами». Из-за этого не стало надежных доверенных пикселей, – говорит специалист. – Я умолял, чтобы постоянная иконка о происхождении и про безопасность была в правом нижнем углу. Но мою просьбу отклонили».

Лоуренс вспоминает, как один из работников Microsoft создал визуально идеальный сайт Paypal, который был ложным, обманывал веб-браузер и предоставлял фальшивые индикаторы. Это особенно ярко проявлялось в полноэкранном режиме браузера. Лоуренс вспоминает, что это пугало, и единственной надеждой было то, что полноэкранным режимом (F11 на Windows) никто не пользуется.

Минималистичные интерфейсы современных браузеров развязали руки злоумышленникам, которые создают браузер в браузере. Они имитируют вид известных веб-навигаторов, которые при этом делают опасные сайты как бы безопасными. Узнать такую копию с первого взгляда бывает трудно даже опытному эксперту, говорит Лоуренс.

В 2007 году команда по безопасности Microsoft также занималась этой проблемой браузера в браузере. Эксперты опубликовали четыре статьи, в которых говорилось, что подобная версия сайта очень убедительна, потому что копирует мелкие детали интерфейса, с кириллицей включительно.

С появлением HTML 5 дела ухудшились, ведь веб-сайты, а значит, и злоумышленники получили возможность принудительно переводить браузер в полноэкранный режим. Так они могут тщательнее скрыть интерфейс браузера пользователя, оставив только вредоносную веб-страницу.

Минимализм не дает узнать больше

Главная концепция мобильного дизайна сегодня – минимализм. Но, убрав разнообразные кнопки и окна, разработчики лишили пользователей средств, чтобы увидеть потенциальную угрозу.

«Мы наблюдаем гораздо больше кликов по фишинговым ссылкам на мобильных девайсах из-за того, что на них значительно труднее получить нужную информацию, – говорит Шон Ричмонд, старший технологический консультант компании Sophos. – Расширить поле URL значительно сложнее, и поэтому пользователям труднее получить информацию для принятия решения».

Почтовые клиенты также страдают от такого. Например, плиточная версия Outlook размещает сообщение о доверенности сайта в сфере, которую злоумышленники могут контролировать, – это область контента. Фишеры легко могут подделать его.

  1. Последние
  2. Популярные
Загрузка...

Новости технологий сегодня

Самые популярные метки