Постоянные читатели уже в курсе, что на Technet я в основном публикую кросс-посты с моего персонального блога eldar.com. И вот, месяца четыре назад, пришло мне такое письмо (в вольном изложении, само собой, оригинал был на буржуинском): «Здрасьте! Я интернет маркетинг менеджер компании Крибле-Крабле-Блюмс! Мы спецализируемся на Интернет рекламе на небольших сайтах. Мы готовы вам платить $20 в месяц, если вы разместите рекламу наших клиентов. Все что нужно сделать – вставить небольшой PHP код на каждую вашу страницу...»
Ок... Вы знаете, за уже скоро десять лет на Майкрософте, моя нынешняя группа – первая, где я не отвечаю за секьюрити всего продукта. Так что, как вы понимаете, у меня сформировалась некоторая, вполне здоровая в моих обстоятельствах, паранойя... Так они хотят, чтобы я вставил PHP код выполняемый на МОЁМ сервере???
Но я не стал судить резко, все-таки взял PHP код и внимательно посмотрел ему в глаза... Вроде бы все честно. Берет что-то с их сайта и выводит их в HTML на моей странице. Обычно и правда честный набор из четырех-шести линков. Первое чувство было, что они пытаются взломать мой сайт. Но вроде бы не должно получаться... Конечно, скребло чувство, а не может ли их вывод вторично интерпретироваться как PHP? Это-то точно было бы огромной дырой в секьюрити. Вроде бы нет, но все же... что-то еще скребло...
И тут до меня ДОШЛО. Достать пытались не меня, А ВАС! Позвольте обьяснить как.
Это в период переговоров этот код выдает скромный набор из четырех линков. А если бы я его вставил на свой сайт, он начал бы выдавать еще дополнительно скромный Javascript. Вы можете спросить, ну и что? Увы, еще как что. Дело в том, что если система не имеет все последние заплатки, то в ней часто есть дырки, через которые Javascript может заставить систему выполнить произвольный код. «Произвольный код» звучит заумно и не очень страшно, но на самом деле это обычно трояны. Точнее, установка троянов. Причем ныне уже не те времена, когда троян заставлял буковки сыпаться с вашего экрана, сейчас этим занимаются вполне серьезные дяди, которым совершенно неинтересно вас шокировать или пугать, им просто нужны ваши деньги. Современные трояны в основном делают очень простую вещь – они сидят тихо и ждут, когда вы сделаете что-нибудь интересное. Скажем, залогинитесь в ваш счет в банке или купите что-то на Интеренете по кредитной карточке. Тут они ловят ваш ввод и отправляют на анонимный сервер хозяину трояна, которые затем может этими данными воспользоваться или, что более часто, продать их тем, кто может ими воспользоваться.
Сказ про то, как вас пытались достать через мой блог... а я им не дал!
Тематики:
Ключевые слова: веб-сайт, блог, информационная безопасность