Xakep #305. Многошаговые SQL-инъекции
В конце минувшей недели в официальном блоге Microsoft, посвящённом вопросам
приватности, появилось сообщение о том, что с нескольких сайтов компании был
удалён код, реализующий так называемые "суперкуки". В Microsoft заверяют, что
ничего такого с их помощью не собирали, что код уже давно устарел и стоял в
очереди на утилизацию и что у них нет никаких планов по внедрению такого рода
механизмов.
Такой шаг компании объясняется находкой исследователей из Стэнфордского
университета. В рамках проекта FourthParty они изучили поведение наиболее
популярных по версии Alexa 10 000 ресурсов в условиях, когда пользователь
удаляет установленные этими сайтами cookie-файлы.
Оказалось, что в случае с некоторыми ресурсами, принадлежащими компании
Microsoft, удалённые «куки» чудесным образом возрождались заново с сохранением
прежних идентификаторов. Это позволяло Microsoft идентифицировать пользователей,
которые ранее посещали его ресурсы, даже если те почистили куки с целью
обезличить себя.
Восстановление cookie-файлов происходило при определённых условиях, и
исследователи затруднились сказать, какое количество пользователей это
затрагивало, кроме, разве что, того, что это количество должно быть очень
большим. Всё-таки речь идёт о таких ресурсах как bing.com, microsoft.com,
msn.com, live.com, xbox.com и некоторых других.
Исследователи обратились в Microsoft, там изучили проблему и приняли меры.
Публично здесь при этом заявили, что данный код вроде как старый и что от него
вроде как уже запланировали отказаться. Теперь же этот процесс пришлось
ускорить, так что означенные сайты ничем подобным уже не занимаются и никогда
заниматься не будут (во всяком случае, у компании пока нет таких планов). Более
того, в Microsoft заверили, что куки-идентификаторы и связанные с ними данные не
передавались «налево» ни при каких обстоятельствах.
Надо заметить, что недюжинная прыть, которую Microsoft проявил в деле
зачистки шпионского кода, имеет простое объяснение. Такого рода деятельность в
США сейчас воспринимают очень близко к сердцу и чуть что судятся с
компаниями-шпионами. Например, в прошлом году на кучу сервисов, включая MySpace,
Hulu и MTV Networks, подали в суд за использование локального хранилища Flash
Media Player для восстановления удалённых пользователями cookie-файлов.