Сказ про то, как вас пытались достать через мой блог... а я им не дал!

Постоянные читатели уже в курсе, что на Technet я в основном публикую кросс-посты с моего персонального блога eldar.com. И вот, месяца четыре назад, пришло мне такое письмо (в вольном изложении, само собой, оригинал был на буржуинском): «Здрасьте! Я интернет маркетинг менеджер компании Крибле-Крабле-Блюмс! Мы спецализируемся на Интернет рекламе на небольших сайтах. Мы готовы вам платить $20 в месяц, если вы разместите рекламу наших клиентов. Все что нужно сделать – вставить небольшой PHP код на каждую вашу страницу...»

Ок... Вы знаете, за уже скоро десять лет на Майкрософте, моя нынешняя группа – первая, где я не отвечаю за секьюрити всего продукта. Так что, как вы понимаете, у меня сформировалась некоторая, вполне здоровая в моих обстоятельствах, паранойя... Так они хотят, чтобы я вставил PHP код выполняемый на МОЁМ сервере???

Но я не стал судить резко, все-таки взял PHP код и внимательно посмотрел ему в глаза... Вроде бы все честно. Берет что-то с их сайта и выводит их в HTML на моей странице. Обычно и правда честный набор из четырех-шести линков. Первое чувство было, что они пытаются взломать мой сайт. Но вроде бы не должно получаться... Конечно, скребло чувство, а не может ли их вывод вторично интерпретироваться как PHP? Это-то точно было бы огромной дырой в секьюрити. Вроде бы нет, но все же... что-то еще скребло...

И тут до меня ДОШЛО. Достать пытались не меня, А ВАС! Позвольте обьяснить как.

Это в период переговоров этот код выдает скромный набор из четырех линков. А если бы я его вставил на свой сайт, он начал бы выдавать еще дополнительно скромный Javascript. Вы можете спросить, ну и что? Увы, еще как что. Дело в том, что если система не имеет все последние заплатки, то в ней часто есть дырки, через которые Javascript может заставить систему выполнить произвольный код. «Произвольный код» звучит заумно и не очень страшно, но на самом деле это обычно трояны. Точнее, установка троянов. Причем ныне уже не те времена, когда троян заставлял буковки сыпаться с вашего экрана, сейчас этим занимаются вполне серьезные дяди, которым совершенно неинтересно вас шокировать или пугать, им просто нужны ваши деньги. Современные трояны в основном делают очень простую вещь – они сидят тихо и ждут, когда вы сделаете что-нибудь интересное. Скажем, залогинитесь в ваш счет в банке или купите что-то на Интеренете по кредитной карточке. Тут они ловят ваш ввод и отправляют на анонимный сервер хозяину трояна, которые затем может этими данными воспользоваться или, что более часто, продать их тем, кто может ими воспользоваться.

Ссылка: http://blogs.technet.com/eldar/archive/2009/06/06/3251069.aspx

Ключевые слова: веб-сайт, блог, информационная безопасность