|
|
Американский специалист по компьютерной безопасности Джереми Гроссман утверждает, что нашёл способ, с помощью которого можно использовать веб-сайты для проведения атак на его пользователей. Способ очень прост: требуется буквально одна строчка кода. Проблема кроется в хакерской технике под названием Cross Site Scripting (CSS). С её помощью можно использовать сайты, которые воспроизводят введённый пользователем текст (например, службы веб-почты или форумы), для того, чтобы разместить на них вредоносные скрипты. Cross Site Scripting был известен ещё с 1997 года, и с тех пор с ней научились бороться. Однако, как утверждает Гроссман, используемые сейчас методы защиты от Cross Site Scripting могут быть обойдены. С помощью специальным образом подготовленного скрипта и ссылки на внешний сайт, помещённой в постинг или письмо, можно заполучить файлы с компьютера читателей этого письма, украсть пароли или номера их кредитных карточек. По словам Гроссмана, перед его методом не устоят многие сайты, обладающие высокой посещаемостью: службы веб-почты, онлайновые аукционы, форумы, HTML-чаты, гостевые книги. Уязвима даже веб-почта Hotmail, насчитывающая десятки миллионов пользователей (впрочем, это и неудивительно - Hotmail славится своими багами и "дырами"). Гроссман проинформировал администраторов крупных сайтов, подверженных опасности. Теперь он ожидает, пока они устраняют ошибку. Только после этого он собирается обнародовать найденный им способ атаки. Источник: Журнал "Компьютерра" |
|