Записки самоучки

Ноябрь 17, 2006

Уязвимостям web 2.0 100 лет

Filed under: Это жизнь,Web 2.0 — 4matic @ 11:07 дп

Набрел на заметку об уязвимостях web 2.0.

Я согласен, что нужно говорить о распространенных/часто встречаемых уязвимостях вебдваноль, а так же говорить о тенденциях это проблемы. Но говорить о том, что уязвимости новы и присущи ведбванольным решениям — это БАЯН.

В вебдваноль активно используется Аякс, который, собственно, и является источником проблем. Аякс — это просто новая технология, которая пользуется старыми инструментами (Javascript, XML, DOM …). Поэтому говорить о XSS (и др.), как о страшной и новой уязвимости, присущей вебдванольным ресурсам — это просто модно и не больше. Новых уязвимостей нет, есть технология Аякс и вебдваноль, которые, как сейчас активно развиваются. Распрострененность решений делает распространенными те проблемы, которые раньше находились в тени. Раньше включенная поддержка кук или JS считалась колоссальной брешью в безопасности клиента. Многие сайты создавались из расчета, что у клиента 50/50 будет выключена поддержка JS. А сейчас чаша весов склоняется к тому, что включенная поддержка JS — это обязательное условие для работы с сайтом.

Проблема не в вебдваноле или XSS — проблема в глупостях программистов, которые позволяют издеваться над своими продуктами с помощью уязвимостей, а так же в «сильно умных» ломаках, которые направляют свою энергию, что бы делать гадости, показывая свое «превосходство».

1 комментарий »

  1. Не согласен. Печеньки и javascript до сих пор являются опциональными и их можно легко выключить, однако я не помню чтобы это когда либо считалось брешью. Что страшного ты можешь сделать на компе оставив печеньку? Или что более страшное чем зависание браузера ( while(true); ) может случится с твоим компом при включённом яваскрипте?
    Сейчас мне пришло в голову, что даже Flash опаснее поскольку до какой-то версии в нём был баг позволяющий сохрнять файлы на клиентском компе. Зашёл на сайтик, посмотрел-посчёлкал, а потом у тебя где-нибудь на диске появляется EXE файлик с яркой иконкой, так и хочется кликнуть. Ну многие и кликали.
    На сколько я понимаю XSS опасен лишь тем, что подменой ДНС имени сервера к которому ты пытаешься дозваться на произвольный адрес ты получаешь доступ к компу пользователя через javascript и это даёт тебе возможность прочитать данные сохранённые в cookie или чего хуже к примеру в менеджере паролей фаерфокса и отослать их куда-нибудь себе тем же самым ajax запросом.
    И так, к слову, взлом это не попытка показать своё привосходство. Просто кому-то весело писать сайты, а кому-то сайты не интересно писать, кому-то интересно находить ошибки в уже написанном и поверь мне на слово это гораздо более трудная и интересная задача. Сайтостроителем может быть любой человек обладающий достаточным уровнем интелекта, а вот хакером может быть отнюдь не всякий и зачастую это весьма и весьма грамотные и талантливые люди.

    комментарий от Parad0X — Сентябрь 5, 2007 @ 1:43 дп


RSS feed for comments on this post. TrackBack URI

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

Блог на WordPress.com.

%d такие блоггеры, как: