Самый опасный софт в мире

Из-за ошибок программирования даже хорошие утилиты становятся опасными. Последствия могут быть разнообразными — от сбоя во время работы до кражи пользовательских данных. Но в большинстве случаев от этого можно защититься.

Самые опасные... Самые опасные…

Я ни в коем случае не несу ответственность, если пользователь настолько глуп, чтобы перейти по ссылке в полученном электронном письме», — слова Даниэля Керра, разработчика приложения для интернет-покупок OpenCart, близки многим программистам. По их мнению, самую большую опасность представляет сам пользователь: большинство вирусных атак не увенчались бы успехом без его содействия. Однако это слабое звено лишь последнее в цепи — первым всегда является ошибка программирования.

Наиболее серьезные ошибки программирования
Наиболее серьезные ошибки программирования Исходя из этого гиганты отрасли компьютерной безопасности, такие как Microsoft, Oracle, Symantec и 40 других организаций, составили список самых опасных ошибок (см. таблицу).

Если сравнить его с перечнем современных уязвимостей ПО, можно заметить, что наибольшее количество ошибок выявляется в популярных программах. Но если программисты не обеспечили должного уровня безопасности своего продукта, этим следует озаботиться самим пользователям.

Зараженные веб-приложения

Ошибки в программах, хранящихся и запускающихся не на компьютере пользователя, возглавляют список самых распространенных опасностей. К их числу относятся так называемые уязвимости межсайтового скриптинга (Cross-Site Scripting, XSS) и ошибки внедрения кода SQL (обращения к базам данных). В этих случаях пользователю приходится надеяться, что программирование веб-страницы выполнено в соответствии с правилами сервера: в обоих сценариях код выполняется в среде, которую сервер должен самостоятельно перепроверять, что случается не всегда. Даже Google не избежал этой опасности: примерно два месяца назад почта Gmail оказалась уязвима для атак XSS. Дело в том, что этот мировой гигант использовал для демонстрации процесса загрузки данных Flash-ролик под названием uploaderapi2.swf, скрипт которого позволял выполнение поддельного сценария при нажатии пользователем на инфицированную ссылку. Было немало случаев полной потери контроля над учетными записями Google: хакер не только получал доступ к почте, но мог украсть весь аккаунт.

Опасность XSS-атак через «дыры» в технологии Flash сильно недооценивается. В начале года хакер с ником MustLive указал на уязвимость файла tagcloud.swf, который использовался вместе с программой для блогов WordPress. Поиск информации об этом файле в Google выдал более 3 млн совпадений, указывающих на наличие бреши в безопасности.

Инструмент для защиты от атак Cross-Site Scripting в Internet Explorer неустойчив к ошибкам, но его можно отключить в «Свойствах обозревателя»
Инструмент для защиты от атак Cross-Site Scripting в Internet Explorer неустойчив к ошибкам, но его можно отключить в «Свойствах обозревателя» Опасность атак XSS возрастает, если в защитные инструменты браузера вкралась ошибка. в первую очередь это касается Internet Explorer: его XSS-фильтр наиболее уязвим.

Хакер, использующий бреши в фильтре, может выполнять межсайтовый скриптинг даже на надежных сайтах, таких как Bing, Google или Wikipedia.

Что можно сделать. Не надейтесь, что программисты обезопасили свои веб-страницы от XSS-атак. Перед тем как перейти по подозрительной ссылке, отключите в своем браузере функции сценариев. Наилучшую защиту обеспечивает плагин No Script для Firefox. Открывайте сайты, набирая адрес в строке веб-обозревателя, а не переходя по внешней ссылке.

1
2
3
ПОДЕЛИТЬСЯ


Предыдущая статьяSamsung ставит на Windows Phone, Android идет в отставку?
Следующая статьяМечты мобильных операторов могут сбыться?
КОММЕНТАРИИ