- PVSM.RU - https://www.pvsm.ru -
Одним прекрасным днём я наткнулся на этот твит:
Да, этот скриншот [1]ситуации, которая, по мнению большинства людей, нереальна. Короче говоря, фотошоп. Хотя дискуссия на Реддите [2] о пределе человеческой глупости развернулась знатная.
Именно о глупости в сфере информационной безопасности мне и хотелось бы поговорить. Просто потому, что подобные штуки вполне могут быть реальными. Я сталкивался с историями, от которых волосы шевелились абсолютно во всех местах. Наиболее яркими поделюсь сегодня с вами.
Допустим, вы хотите заюзать функцию "Запомнить меня". Ну, знаете, ту, где вы ставите галочку, а при следующем посещении сайта вас пускает в систему. Вот как это сделали Black and Decker [3]:
Да, это всего лишь закодированная в Base64 версия вашего пароля в файле cookie. И да, он отправляется небезопасно при каждом запросе, а ещё он не помечен как "безопасный", поэтому отправляется в открытом виде.
Ай-я-яй, думаете вы, это же очень плохо! Но их переплюнули австралийские фермеры:
Вот это действительно безопасность! Пароль всё ещё в cookies, а ещё я вижу Reflected XSS-уязвимость, которая возникает, если пользовательский ввод с URL-адреса или данных POST отражается на странице без сохранения. Как вы думали, как они отреагировали на сообщение об уязвимости? Правильно, меня мягко послали. И это ещё один пункт в перечне ИБ-проблем.
Я поступил как честный человек, сообщив австралийским фермерам о рисках в далёком 2013 году. А ещё добавил, что им, возможно, не следует рассылать пароли по электронной почте, на что получил эмоциональный ответ от "менеджер по маркетингу":
На сегодняшний день у нас не было ни одной проблемы с безопасностью, связанной с тем, что новые клиенты получали по электронной почте свой пароль, и я точно знаю, что 90% сайтов, на которые я лично регистрируюсь в Интернете, делают точно так же.
А-а-а-а!, не так ли? Это напоминает мне сообщение Oil and Gas International [4], которые внезапно стали очень капризными, когда Firefox начал предупреждать пользователей о том, что форма входа загружается небезопасно. Ошибка была добавлена в багзиллу [5].
Ваше уведомление о небезопасном пароле и/или логине, автоматически появляющееся при входе в систему на нашем сайте Oil and Gas International, нежелательно и было помещено туда без нашего разрешения. Пожалуйста, удалите его немедленно. У нас есть собственная система безопасности, и за более чем 15 лет её ни разу не взламывали. Ваше уведомление вызывает беспокойство у наших подписчиков и наносит ущерб нашему бизнесу.
Ироничненько, что их сайт перестал работать вскоре после этого инцидента. Потом они восстановили его работу, хотя неясно, обновили ли информацию про «15 лет».
Кстати, у British Gas в прошлом тоже были проблемы [6]:
Трудно было пройти и мимо Tesco, тоже удивившей своим лёгким ИБ-безумием:
Безопасный сброс пароля — это ведь так сложно. Мне кажется, им стоит внимательнее изучить тему.
Всё началось с этого [7]:
Сейчас вы, можете подумать: "О, ваше имя пользователя — это ваш адрес электронной почты, и Betfair просто отправит вам электронное письмо, и вы сбросите пароль по уникальной ссылке". Увы, ваши размышления слишком правильные, чтобы быть правдой. Betfair не поверила Полу, и мне пришлось снять видео показывающее всю глубину факапа:
Всё именно так ужасно: зная чей-то адрес электронной почты и дату рождения, вы можете беспрепятственно сбросить его пароль и заменить на любой другой. Но апофеозом глупости компании стало сообщение для Пола, в котором Betfair с невозмутимым видом любезно сообщила, что пользователь нарушит их условия пользования сервисом, если сообщит свой адрес электронной почты и дату рождения кому-либо ещё. Чёрт возьми, ЧТО?
Похоже, в Betfair службой безопасности и не пахнет.
Можно я просто оставлю это здесь?
Что, не особо страшно? Давайте ещё!
На самом деле все эти секретные вопросы — ерунда! Не конкретно эти (хотя они особенно трешовые), а вся идея секретных вопросов. Попробуем что-нибудь более разумное.
Знаешь, что самое сложное в нашей жизни? Придумывать пароли. Вот бы был какой-нибудь простой способ:
Нет, серьёзно. Это скриншот из интернет-архива [8].
К чёрту пароли, скажете вы. Но, к сожалению, пока ещё никто не придумал, как от них избавиться. Существует множество технических решений, которые на самом деле никто не хочет использовать. И по факту у нас сейчас больше паролей, чем когда-либо, и они никуда не денутся. Впрочем, я видел кое-что и похуже...
Это невозможно прокомментировать хоть как-то непредвзято и спокойно. Так что я просто покажу вам это:
Знаете, что действительно меня зацепило? Подумайте о своих друзьях и родственниках, которые ничего не смыслят в технике. Им просто нужно подключить приставку к телевизору. И вот они отправляются в магазин, берут два кабеля HDMI и смотрят на коробки, сравнивая характеристики: у одного кабеля есть антивирусная защита, у другого нет. Как же им быть?
А вот ещё одна глупая штука с безопасностью. Представьте: вы заходите на популярный маркетплейс и бросаете в корзину какой-нибудь тонизирующий лосьон, пудру или что-то ещё, о чем я не имею ни малейшего понятия, а затем нажимаете кнопку «Оформить заказ». И вы видите это:
Непонятно? Вроде норм? Не-а. Когда вы вводите адрес электронной почты — любой адрес электронной почты с учетной записью на сайте — вам представляются чужие личные данные.
WTF?! Они же раскрывают личные данные любого, кто оставлял свой email в системе?! А пользователей там ого-го сколько, сами понимаете. Так что вы можете зайти на сайт, ввести любое женское имя, затем популярный почтовый сервис, и вот вы внутри аккаунта! И если вы думаете «ну, это просто ужасно», то нет. На самом деле это не баг, а фича:
Обратите внимание, что в опросах, которые мы провели, подавляющему большинству клиентов нравится наша система без пароля. Использование вашего адреса электронной почты в качестве пароля является достаточной защитой.
Нет, это не так! Это небезопасно. Я даже завёл там учётную запись, чтобы проверить, как это работает:
Вот такие пироги с котятами. GDPR, конечно, улучшила ситуацию. Но глупости всё ещё много. А что у вас? Какие истории с безопасностью случались в вашей жизни?
Что ещё интересного есть в блоге Cloud4Y
→ Как открыть сейф с помощью ручки [9]
→ It's Alive! Аккордеон из двух Commodore 64 и дискет [10]
→ Как распечатать цветной механический телевизор на 3D-принтере [11]
→ WD-40: средство, которое может почти всё [12]
→ Подержите моё пиво, или как я сделал RGBeeb, перенеся BBC Micro в современный корпус [13]
Подписывайтесь на наш Telegram [14]-канал, чтобы не пропустить очередную статью. Пишем только по делу. А ещё напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube [15]и ВКонтакте [16].
Автор: Cloud4Y
Источник [17]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bezopasnost/380034
Ссылки в тексте:
[1] скриншот : https://twitter.com/larsklint/status/853507749488975873
[2] дискуссия на Реддите: https://www.reddit.com/r/ProgrammerHumor/comments/65l9yq/logins_should_be_unique/
[3] Black and Decker: https://www.troyhunt.com/how-to-build-and-how-not-to-build/
[4] сообщение Oil and Gas International: https://www.troyhunt.com/new-pluralsight-course-what-every-developer-must-know-about-https/
[5] добавлена в багзиллу: https://bugzilla.mozilla.org/show_bug.cgi?id=1348902
[6] были проблемы: https://twitter.com/BritishGasHelp/status/463619139220021248
[7] этого: https://twitter.com/psawers/status/591279641828143104
[8] скриншот из интернет-архива: https://web.archive.org/web/20150117203933/http://www.mysmsdiary.co.uk/
[9] Как открыть сейф с помощью ручки: https://habr.com/ru/company/cloud4y/blog/670048/
[10] It's Alive! Аккордеон из двух Commodore 64 и дискет: https://habr.com/ru/company/cloud4y/blog/695376/
[11] Как распечатать цветной механический телевизор на 3D-принтере: https://habr.com/ru/company/cloud4y/blog/668962/
[12] WD-40: средство, которое может почти всё: https://habr.com/ru/company/cloud4y/blog/595493/
[13] Подержите моё пиво, или как я сделал RGBeeb, перенеся BBC Micro в современный корпус: https://habr.com/ru/company/cloud4y/blog/692038/
[14] Telegram: https://t.me/cloud4y
[15] YouTube : https://youtu.be/8arneYYzsJw
[16] ВКонтакте: https://vk.com/video/playlist/-114833493_1
[17] Источник: https://habr.com/ru/post/696078/?utm_source=habrahabr&utm_medium=rss&utm_campaign=696078
Нажмите здесь для печати.