На проходящей в Вашингтоне конференции Black Hat специалист по
кибербезопасности Майкл Саттон рассказал об опасностях, которые могут угрожать
пользователям в связи с развитием офлайновых веб-сервисов.
Офлайновые веб-сервисы постепенно набирают популярность. В качестве примера
можно привести почтовую службу Gmail, веб-интерфейс которой с недавнего времени
способен практически полностью функционировать при отсутствии соединения с
Интернетом. Это не единственный сервис Google, обладающий таким полезным
свойством и использующий для этого приложение Gears.
На практике такой функционал достигается за счёт формирования локальной копии
части базы данных сервера на клиентском компьютере. И именно здесь кроется
опасность, отмечает Саттон. Если веб-сайт является уязвимым к хакерским атакам (Саттон
упоминает SQL-инъекции и межсайтовый скриптинг), то компьютер пользователя в
таком случае также становится уязвимым: информация из его локальной базы данных
может попасть в руки злоумышленников. И это вовсе не умозрительная угроза:
эксперт проверил свои догадки на практике, воспользовавшись уязвимостью некоего
ресурса Plymo (эта уязвимость уже устранена по его наводке).
Наиболее вероятный сценарий, которым будут пользоваться киберпреступники, по
мнению Саттона, заключается в рассылке своеобразных фишинговых писем, которые
будут завлекать пользователей не на фальшивые сайты, а на вполне легитимные, но
уязвимые веб-ресурсы. После этого с помощью браузера пользователя злоумышленники
смогут добраться до данных из офлайновой базы. При этом совершенно неважно,
насколько хорошо защищён компьютер пользователя: никакой антивирус здесь не
поможет. Также неважно, насколько хорошо продумана защита инструмента, который
позволяет организовать работу в офлайне. Важно то, насколько ответственно к
вопросам безопасности относятся администраторы ресурсов, предоставляющих
офлайн-сервисы.
"Gears — потрясающий инструмент, и Google провёл отличную работу по
обеспечению безопасности этой технологии, — говорит Саттон. — Но если вы
внедрите её в уязвимый сайт, вы подставите своих клиентов".
Помимо приложения Gears, способного работать в ОС Windows, Mac OS X и Linux —
то есть едва ли не на всех компьютерах, Саттон также упоминает находящуюся в
стадии разработки спецификацию HTML 5. Здесь также предусматривается
взаимодействие браузера с сайтами при помощи локальных БД, и эта возможность уже
частично реализована в Apple Safari. Очевидно, что количество офлайновых
веб-сервисов будет расти, причём очень быстрыми темпами.
