Офлайновый Google упрощает кражу данных

На проходящей в Вашингтоне конференции Black Hat специалист по кибербезопасности Майкл Саттон (Michael Sutton) рассказал об опасностях, которые могут угрожать пользователям в связи с развитием офлайновых веб-сервисов, сообщают The Register и BBC News.

Офлайновые веб-сервисы постепенно набирают популярность. В качестве примера можно привести почтовую службу Gmail, веб-интерфейс которой с недавнего времени способен практически полностью функционировать при отсутствии соединения с Интернетом. Это не единственный сервис Google, обладающий таким полезным свойством и использующий для этого приложение Gears.

На практике такой функционал достигается за счёт формирования локальной копии части базы данных сервера на клиентском компьютере. И именно здесь кроется опасность, отмечает Саттон. Если веб-сайт является уязвимым к хакерским атакам (Саттон упоминает SQL-инъекции и межсайтовый скриптинг), то компьютер пользователя в таком случае также становится уязвимым: информация из его локальной базы данных может попасть в руки злоумышленников. И это вовсе не умозрительная угроза: эксперт проверил свои догадки на практике, воспользовавшись уязвимостью некоего ресурса Plymo (эта уязвимость уже устранена по его наводке).

Наиболее вероятный сценарий, которым будут пользоваться киберпреступники, по мнению Саттона, заключается в рассылке своеобразных фишинговых писем, которые будут завлекать пользователей не на фальшивые сайты, а на вполне легитимные, но уязвимые веб-ресурсы. После этого с помощью браузера пользователя злоумышленники смогут добраться до данных из офлайновой базы.

При этом совершенно неважно, насколько хорошо защищён компьютер пользователя: никакой антивирус здесь не поможет. Также неважно, насколько хорошо продумана защита инструмента, который позволяет организовать работу в офлайне. Важно то, насколько ответственно к вопросам безопасности относятся администраторы ресурсов, предоставляющих офлайн-сервисы.

"Gears — потрясающий инструмент, и Google провёл отличную работу по обеспечению безопасности этой технологии, — говорит Саттон. — Но если вы внедрите её в уязвимый сайт, вы подставите своих клиентов".

Помимо приложения Gears, способного работать в ОС Windows, Mac OS X и Linux — то есть едва ли не на всех компьютерах, Саттон также упоминает находящуюся в стадии разработки спецификацию HTML 5. Здесь также предусматривается взаимодействие браузера с сайтами при помощи локальных БД, и эта возможность уже частично реализована в Apple Safari. Очевидно, что количество офлайновых веб-сервисов будет расти, причём очень быстрыми темпами.


Игорь Крейн, Вебпланета





Интересные новости
Перша українська криптобіржа Kuna закрила депозити та оголосила дату припинення роботиПерша українська криптобіржа Kuna закрила депозити та оголосила дату припинення роботи
Блок рекламы


Похожие новости

Google програв судовий процес щодо антимонопольного штрафу ЄС у розмірі $2,7 млрдGoogle програв судовий процес щодо антимонопольного штрафу ЄС у розмірі $2,7 млрд
Google заплатив Apple $20 млрд, щоб стати стандартним пошуковиком у SafariGoogle заплатив Apple $20 млрд, щоб стати стандартним пошуковиком у Safari
Google планує стягувати плату за пошукову систему на основі ШІGoogle планує стягувати плату за пошукову систему на основі ШІ
Чатбот зі штучним інтелектом від Google вже доступний в Україні: що він можеЧатбот зі штучним інтелектом від Google вже доступний в Україні: що він може
Axios: Як Google намагається протистояти у сфері ШІ компаніям Microsoft та OpenAIAxios: Як Google намагається протистояти у сфері ШІ компаніям Microsoft та OpenAI
Google помилково відіслала деяким користувачам Google Pay від $10 до $1000Google помилково відіслала деяким користувачам Google Pay від $10 до $1000
Google порахував, скільки мільярдів доходу отримали українські стартапи у 2022 роціGoogle порахував, скільки мільярдів доходу отримали українські стартапи у 2022 році
«Податок на Google»: Держбюджет вже отримав 6,3 мільярда«Податок на Google»: Держбюджет вже отримав 6,3 мільярда
Google запускає чат-бот Bard для конкуренції з ChatGPTGoogle запускає чат-бот Bard для конкуренції з ChatGPT
Фонд держмайна починає співпрацю з Google: що це значитьФонд держмайна починає співпрацю з Google: що це значить
Последние новости

Подгружаем последние новости