Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Підвищуємо безпеку логінів через Facebook і Google OpenID

  1. Загроза
  2. Діра залатати? На жаль немає
  3. Що робити

Наша взаимовыгодная связь https://banwar.org/

Сьогодні, коли минуло менше місяця з виявлення небезпечної уразливості Heartbleed , Звичайний відвідувач Інтернету на кшталт вас або мене відразу напружиться, почувши про черговий широко поширеному баге, який нелегко виправити. На жаль, саме цей опис підходить до уразливості «Прихована переадресація», про яку недавно написав Он Цзінь, аспірант кафедри математики Сінгапурського технологічного університету в Нан'янге. Проблеми були виявлені в популярних інтернет-протоколах OpenID і OAuth. Перший застосовується, коли ви входите на якісь веб-сайти за допомогою свого логіна і пароля від Google, Facebook, «ВКонтакте» і так далі. Другий грає важливу роль, коли ви дозволяєте додатків, сайтам або сервісів доступ до свого профілю в соцмережі, що не відправляючи при цьому в сторонні сервіси свого імені і пароля від соцмережі. Ці дві технології зазвичай використовуються разом і, як з'ясовується, можуть передати ваші дані в чужі руки.

Heartbleed

Загроза

Наші колеги з сайту Threatpost описали вразливість у всіх технічних подробицях, але ми опустимо непотрібні користувачеві деталі і лише опишемо типовий сценарій атаки і можливі наслідки. Спочатку користувача заманюють на фішингових сайтів , Який оснащений типовими кнопками «Увійти через Facebook» або «Авторизуватись через Google». Підроблений сайт може нагадувати популярний сторонній сервіс або видавати себе за абсолютно новий. При натисканні на кнопку «Увійти» з'являється спливаюче вікно від справжнього Facebook або «ВКонтакте», що пропонує ввести логін і пароль або (якщо користувач вже увійшов в соцмережу) просто дати доступ до свого профілю. При цьому у спливаючому вікні вказано, що доступ запитаний справжнім сайтом, тобто все виглядає чинно і благородно. Але потім авторизація та дозвіл на доступ до профілю відправляються на невірний (фішингових) сайт за допомогою тієї самої переадресації. В результаті зловмисник отримує ключ доступу (токен OAuth) до призначеного для користувача профілю, причому у нього будуть ті ж права, які має оригінальний додаток / сервіс, сайт якого було підроблено. У кращому випадку це будуть тільки базові дані про користувача, а в гіршому - можливість зчитувати контакти жертви, розсилати їм повідомлення і так далі.

Діра залатати? На жаль немає

Дана загроза, ймовірно, не скоро зникне з обрію, оскільки вирішувати проблему потрібно одночасно і у провайдера авторизації (Facebook / LinkedIn / Mail.ru та ін.), І у сайту, який нею користується. Протокол OAuth до сих пір не вийшов з бета-версії, і різні провайдери використовують різні його варіанти, які відрізняються за своєю здатністю протистояти атаці. LinkedIn був в кращій позиції і зміг вирішити проблему радикально, змусивши розробників, які співпрацюють з платформою, створити «білий список» посилань переадресації. Сьогодні будь-який додаток або сайт, що використовують профіль LinkedIn для входу, або безпечні, або зовсім не працюють, оскільки LinkedIn відключив від системи сервіси, що не оновилися. У Facebook справи йдуть інакше, оскільки і сторонніх додатків на порядок більше, і версія OAuth, ймовірно, менш свіжа. Тому представники Facebook відповіли Цзінь, що введення подібного довіреної списку - «не те, чого можна досягти за короткий час».

Технології OpenID використовуються не тільки згаданими провайдерами, а й багатьма іншими. Цзінь протестував найпопулярніші сайти, за допомогою яких можна підключитися до інших сервісів, і визначив, що багато хто з них уразливі. Якщо ви користуєтеся одним із сервісів з картинки, необхідно вжити заходів.

Що робити

Для самих обережних найбільш надійним рішенням буде відмовитися від використання OpenID і зручних кнопок «Увійти за допомогою ...» на кілька місяців. Заодно цей спосіб підвищує ступінь вашої конфіденційності, оскільки через зручні кнопки соцмереж простіше стежити за вашими переміщеннями по різних сайтах, а самим сайтам - отримувати від соцмереж демографічні дані про вас.

Щоб уникнути клопотів із запам'ятовуванням десятків (а то й сотень) паролів від різних сайтів, можна нарешті почати користуватися ефективним менеджером паролів . Багато сервісів такого роду сьогодні багатоплатформності і підтримують хмарну синхронізацію, завдяки чому ваша база паролів доступна на будь-якому вашому пристрої.

Але якщо ви плануєте продовжити користування OpenID, в цьому немає прямої і негайної загрози. Вам лише доведеться бути дуже пильними і уникати будь-яких фішингових схем , Які зазвичай починаються з тривожного листа у вхідних або провокаційної посилання в FB або інший соцмережі. Якщо ви входите в якийсь сервіс за допомогою Facebook / Google / »ВКонтакте», переконайтеся, що ви відкриваєте сайт сервісу вручну або через закладки, а не за посиланням, яка надіслана в пошту або «Вхідні» месенджера. Двічі перевіряйте адресний рядок і не відвідуйте сумнівні сайти. Чи не підписуйтесь на нові програми та сайти через FB / ВК і інші OpenID-сервіси, якщо ви впевнені в репутації сайту / додатка менше ніж на 100% або неточно знаєте правильний веб-адреса сайту. Також користуйтеся додатком для захищеного веб-перегляду, наприклад Kaspersky Internet Security для всіх пристроїв, яке запобігає відвідування небезпечних сайтів, в тому числі фішингових.

Все це лише звичайні тренування обережності, які повинні бути повсякденною справою для кожного інтернет-користувача. Адже фішингові загрози дуже популярні і, на жаль, ефективні, приводячи до всіх видів «цифрових втрат» - від кредитних карт до логінів до пошти. «Прихована переадресація» в OpenID і OAuth всього лише ще один резон практикувати цю повсякденну безпеку і не робити ніяких винятків.

Діра залатати?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    https://banwar.org/
    Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: