Скажите, как бы вы отнеслись к тому, чтобы продавцы давали возможность собрать атрибуты ваших карточек, включая номер, фамилию и CVC, какому-то постороннему лицу еще в момент оплаты, а также, без пароля, пускали посмотреть, что вы делаете в личном кабинете какого-то сервиса, кому и сколько платите, например. Сколько у вас телефонов и как вы ими пользуетесь. Т.е. вы входите под паролем, подтверждаете право владения по SMS, зашли, а там народ толпится, кто зашел просто посмотреть. Бред? Тем не менее, так делают многие сервисы. Кем бы вы себя ощущали, если бы в комнате для вскрытия банковских ячеек обнаружили камеру наблюдения? Но, не будем снова о банках, давайте обо всем последовательно.
Заранее прошу прощения у тех, кому объяснения покажутся слишком разжевывающими, несмотря на аудиторию, в прошлый раз многие вообще не поняли, о чем идет речь.
Большинство вебмастеров игнорируют тот факт, что страницы с чувствительной информацией должны быть статичными по содержимому кода. Чем отличается от обычной программы вирус? Тем, что на компьютере появляется программа, написанная непонятно кем, потребляет ресурсы и выполняет непонятно какие действия в целях их авторов (позвольте вольное определение для пользы объяснения). И вот берем страницу, например, личного кабинета Билайн.
Помимо штатного адреса Билайна, мы видим, что в странице присутствуют адреса, которые к нему не относятся. Т.е. есть код, который написали работники Билайна и есть код, который грузится с каких-то других серверов, написанный другими людьми, причем, код этот вообще никак сотрудниками Билайна не контролируется, поскольку загружается не через Билайн, а по тем адресам, которые вы видите. Раз не контролируется, то и какие действия он выполняет, тоже не понятно.
Вот, пожалуйста, небольшое видео по тому, что можно творить внешними скриптами в личном кабинете
Переходим к следущему тому, что обещал в заголовке.
Проходя мимо сайта оплаты МТС, случайно обнаружил протесты баннерорезки. К счастью, скриптов не очень много. Но популярная гуглоаналитика там есть. Прямо вот на страничке, где вы вводите номера карточек и CVV.
Небольшое поясняющее видео:
Опишу происходящее на видео, если кто-то не может его посмотреть. Обманув DNS, я перенацелил скрипты аналитики на свой веб-сервер, где их благополучно подменил на свои. Это не взлом и целью выставить обнаруженное уязвимостью нет, хотя некоторая вероятность такого тоже существует. Своими скриптами я благополучно собрал вводимые самим собой тестовые произвольные номера кредиток и отправил себе на сервер. Для демонстрации возможностей скрипта я еще и сумму оплаты поменял.
Извините, повторюсь, есть некоторая компания (перечисленные выше, как и многие другие, не суть название). Они пишут сайт, в который закладывают секретности и какой-то функционал, где (я верю в это) личные данные никто править не должен и они наружу никуда не утекают. Для того, чтобы собирать статистику по своим пользователям, они ленятся и пользуются чужими скриптами. Т.е. браузерам пользователей они в своем сайте дают команду — зайдите на другой сервер и возьмите там скрипт для статистики. Какой этот скрипт в данный момент времени знают только владельцы другого сервера. Что он делает, владельцы сайта не могут знать. Более того, браузерам пользователя в некоторых случаях можно сказать, чтобы скрипты брались откуда-то еще и тогда количество тех, кто может их поменять, резко возрастает. Владельцы же серверов статистики и прочих вставок вообще без проблем могут собирать все, до чего дотянутся. Куда им захочется дотянуться, тоже уверен, владельцы основных сайтов вообще не представляют.
Верить в честность компании, предоставляющей аналитику, не приходится. Однако, работают в ней люди. А люди иногда нарушают закон. И хоть компания потом будет выводить за баню и расстреливать сотрудников-нарушителей, будет ли лично вам от этого легче? Сможет ли это компенсировать потери? Я принципиально не понимаю, зачем давать лишнюю возможность получить доступ к таким данным? Если кто-то очень надеется на SMS, рекомендую почитать вот эту статью и вспомнить недавнюю историю с тем, как недобросовестные работники одного из салонов дублировали симкарты оператора сотовой связи.
Мое письмо в МТС:
Добрый день, уточните, пожалуйста, зачем используются сторонние скрипты, в том числе иностранные, на страницах сайта МТС? Это же может быть угрозой сохранности информации, передаваемой между вашей компанией и пользователем.
И полученная такая вот отписка
Здравствуйте, Олег Андреевич.
Сохранность информации защищена законодательством РФ.
С уважением,
**** ******
ПАО «МТС»
И смех, и грех. Не хочу, чтобы сотрудника сделали козлом отпущения, что произошло мне вполне понятно, потому зазвездил имя. Потом уже снял и отправил видео, которое вы видели выше, после чего было сообщение о том, что оно отправлено в какое-то подразделение по безопасности и дальнейших сообщений я уже не получил никаких.
Ну, и чтобы меня не заподозрили в предвзятости, у Мегафона все тоже самое.
Два скрипта, метрики и аналитики. Меняем на свои и наслаждаемся получением данных и изменением всяких текстов.
На всякий случай поясню, каким образом можно посмотреть, подложили ли свинью в ваш личный кабинет. Например, с помощью браузера Chrome. Заходите в личный кабинет или что у вас там содержит персональные данные, нажимаете Shift-Ctrl-J, выбираете раздел Network, подраздел JS и нажимаете F5. В списке, который заполнится после этого не должно быть никаких «чужих» адресов, только принадлежащие тому ресурсу, на котором вы находитесь. Крайне желательно, конечно, чтобы в этот момент все расширения браузера были выключены. Найдете что-то интересное, cразу не паникуйте, все же есть некоторые ограничения на доступ скриптов к содержимому. Но на сайтах веб-мастеров, которые уделяют внимание безопасности, внешние скрипты исключены в принципе. Этого правила рекомендую придерживаться всем, кто не хочет подставить людей, пользующихся сервисом. Статистика может быть собрана и собственными средствами, а наиболее точная она будет по журналам веб-сервера, где нет искажений от баннерорезок. Есть варианты JS-статистики, скрипты которой можно хранить у себя.
Я счел правильным сначала сообщать о проблеме самим компаниям до публикации, поэтому в данный момент могло что-то и измениться. Но, в свете происходящего, ресурсов с внешней статистикой на страницах с вашими данными еще очень много.
Комментарии
Вам SaaS аббревиатура знакома?
Огромная такая дырень в безопасности!
В таких вещах как сайт, один голос маркетолуха перевешивает десяток голосов безопасников. Да и редко какой безопасник интересуется тем, что происходит "за периметром".
А, маркетолухи ни про шо, кроме гугл аналитики и яндекс метрики не слыхивали. Там же все для людей и забесплатно :)
Спасибо.
уёб-макаки, с годами всё моложе и потому всё более макаки
Советую поставить в браузер uMatrix. Режет все посторонние запросы, включая аналитику, социальные кнопки, шпионские скрипты и прочую дрянь. Поначалу требует лишних телодвижений, потому как, большинство сайтов написаны не людьми, а уеб-макаками, но через месяцок привыкаете. Заодно посмотрите, сколько говна напихивают уёб-дезигнеры и погромисты в сайты, и наглядно оцените все "прелести" современного говнокода.
Дед Мазай наверное "на перле лабает" и чистым HTML-ем до сих пор.
Нынешних уёб-дезигнеров-смузихлёбов надо за любую необоснованную попытку отхода от чистого HTML, использование сторонних библиотек (гугловских и прочих), размещение контента на всяких someshitcdn.xxx и прочие рукожопые извращения надо гнать ссаными тряпками в дворники. Потому как, их квалификация ничуть не выше, нежели у джамшутов.
А то заходишь на сайт, а там, чтобы вывести страницу текста и десяток картинок, грузятся с десяти серваков по всему миру сотня мегабайтов говноскриптов, неизвестно, что на самом деле делающих.
Пользуюсь расширением к Огнелису NoScript
Функционал аналогичный
uMatrix удобнее. Позволяет быстро включить нужное.
тема созвучна со вчерашней https://aftershock.news/?q=node/566332 в том плане, что
тупой корольпользователь ГОЛЫЙ перед всей системой инет-сервисов и представления не имеет, что заход на практически любой сервер оставляет не только следы в виде IP, но и все, что пожелает узнатьдоброжелательвладелец сервиса вместе со своими подельниками типа аналитики, счетчиков и т.п.за примером далеко ходить не надо - в большинстве браузеров есть встренные средства для инспекции/анализа (web-developer) содержимого страниц. полюбопытствуйте, сколько ссылок на внешние ресурсы открываются на ЭТОЙ странице как явно, так и в виде загрузки пиксельных изображений с сайтов https://cdn-rtb.sape.ru/..,
https://www.acint.net/..
и еще не одной дюжины запросов и скриптов, заблокированнных аддонами мозиллы,
и какие кукисы кому что отдали.
не удивлюсь, если алекс сам не ведает, что творится не его сайте какая информация собирается и кому передается во благо самих читателей и писателей, ессно. ) забанит, аднака.
чему же удивляться, если при такой повсеместной насыщенности аутсорсинговыми услугами у поставщика вдруг находится штатный умник, который чуть-чуть правит весьма распространенный API и вся его шайка получает гигантский урожай персональных данных, включая карточные счета, для последующей их "чистки". и не надо ничего взламывать - вы, пользователи, не имеющие представления о тонкостях технологий, да еще отдавая свою судьбу на условиях "as-is", сами отдаете все свои тайны в руки "доброжелателей".
открытие автора заметки - не новость для безопасников, но они не делают погоды в бизнесе, т.к. и бизнес тоже пользуется внешними услугами на условиях as-is, а господа из nsa любезно предоставляют их через своих именитых шестерок типа гуглей, мастдаев, сисок и прочих.
сегодня практически невозможно найти сайт, не использующий инструменты SEO и программные надстройки типа API.
даже абсолютно чистый сайт, написанный на голом html, подгружает кукисы своего хостера.
благими намерениями вымощена дорога в известном направлении. увы.