Хакеры - за безопасность поисковиков
Дата: 25.05.2007Источник: Telnews.ru
Как гласит народная мудрость – лучшие специалисты по безопасности получаются из бывших хакеров. Действительно тот, кто умеет найти дыры в любом ПО и мыслить как взломщик, сможет с большой долей вероятности вовремя устранить нежелательные прорехи в системе безопасности.Отрадно, что далеко не все специалисты по взлому используют свои таланты во вредоносных целях. Некоторые из них рассматривают хакерскую деятельность не только как средство обогатиться или показать собственную «крутость», но и как способ указать разработчикам на существующие проблемы.
В последний год в хакерской среде образовалось целое движение, цель которого – поиск дыр в программном обеспечении. Основной метод действия хакеров – организация так называемых "month-of-bugs", во время которых выбранный тип ПО подвергается массированным атакам с целью обнаружения максимального числа дыр. С июля прошлого года было проведено уже семь таких раундов, во время которых были выявлены десятки недоработок в браузерах, ядрах операционных систем, PHP, MySpace, ActiveX и Mac'ах.
Следующей мишенью проверки станут поисковые системы, которые являются главными генераторами трафика в Интернете. Украинский хакер MustLive сообщил, что в июне стартует новый month-of-bugs, во время которого тщательной проверке на наличие дыр в безопасности подвергнутся ведущие мировые поисковые машины – Google, Yahoo, MSN, Ask.com и другие. Результаты хакерских изысканий будут опубликованы в открытом доступе. Как надеются организаторы акции, эти публикации укажут пользователям поисковиков на потенциальную опасность, а также позволят создателям поисковых систем внести необходимые коррективы.
Главной мишенью проверки станет cross-site scripting. Эта уязвимость (сокращенно XSS) возникает в тех случаях, когда веб-приложение передает данные, полученные от одного пользователя, другим пользователям без соответствующей проверки этих данных. Таким образом, у хакера появляется великолепная возможность отсылки своих сценариев (JavaScript, VBScript, ActiveX, HTML или Flash) для исполнения последних в окне браузера других, ничего не подозревающих, пользователей. Стоит также отметить, что в большинстве поисковых систем необходимая проверка данных не производится, а их владельцы уделяют недостаточно внимания этой проблеме.
Некоторые компании решили не дожидаться, пока их ткнут носом в собственные недоработки. Например, Google давно и активно борется с уязвимостью XSS. Правда, до недавнего времени дело в основном ограничивалось латанием дыр в дополнительных сервисах. Так, в начале года аналогичная уязвимость была устранена в службе Blogger Custom Domains.
Хочется надеяться, что инициатива хакеров заставит владельцев поисковиков обратить внимание на проблему XSS. Основания для этого есть. Предыдущие "month-of-bugs" выявили массу ошибок, которые были учтены и впоследствии исправлены разработчиками ПО.
| Добавить комментарий |
| Всего 0 комментариев |
