вторник, 19 июля 2011 г.

"Секретные ссылки", Мегафон, Яндекс и все-все-все

Продолжается тема с "утечками" данных через поисковые машины.

http://www.securitylab.ru/news/406380.php

Всегда возникает вопрос - "А как эта ссылка попала в индекс"

Пока явно видно 4 основных пути:

1. Ошибка северной части Web-приложения (возможно EMS?) которая допускала утечку (индексация директорий, user-friedly поиск а-ля WASC Insecure Indexing). 
2. Сами пользователи, публикующие в открытых источниках "секретные ссылки".
3. Системы сбора статистики, (Yandex-метрика), показа баннеров и другой внешний контент (sms.prm.ru).
4. Расширения браузеров для оптимизации (Яндекс.Бар, Chrome), которые автоматически отдают ссылки на индексацию (Мегафон?).

Понятно, что все эти направления лишь использую недочеты в сайтах, являясь "триггером", выявляющим уязвимости, а подчас и осуществляющим "несанкционированный доступ".

6 комментариев:

Сергей Б комментирует...

Мне кажется что не только уязвимости на сайтах.
Дело в том, что поисковики стали слишком много шпионить за пользователями.
Из-за этого возможны утечки информации и без уязвимости в web-приложении.

Сергей Б комментирует...

Если же утверждать, что первопричина в уязвимостях web-приложений, то придется отказываться от сессий в принципе и переходить к аутентификации при каждом запросе.

Но и это не спасет. Если так пойдет, то особо продвинутые расширения по оптимизации начнут и пароли у себя сохранять.

Сергей Гордейчик комментирует...

>отказываться от сессий в принципе

Неа. Если бы сайты нормально отслеживали сессии (cookie, post) + защита от CSRF (anti csrf token) и выдерживали таймауты, то все было бы хорошо.

Но BAR & Chrome безусловно - зло.

>пароли у себя сохранять

А разве еще не? Вы не пробовали использовать "облачные сервисы резервного копирования" Android и Chrome или "импортировать контакты в facebook"?

Анонимный комментирует...

Да не отправляет хром ссылки пауку.
У них с прайваси строго.

Сергей Гордейчик комментирует...

>Да не отправляет хром ссылки пауку

Да? А Google как бы не согласен

"Символы, которые вы вводите при указании URL или запросов в адресной строке, отправляются в поисковую систему"

http://www.google.com/chrome/intl/ru/privacy.html

Анонимный комментирует...

Там про паука ни слова, обычный гугл suggest