Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Специалисты Калифорнийского университета в Сан-Диего разработали инструмент Tripwire, который позволяет определить, когда какой-либо сайт, содержащий личные данные пользователей, подвергается взлому.
Идея была проста: Tripwire ищет сайты с возможностью регистрации, и заводит на каждом ресурсе одну или более учетную запись, привязанную к уникальному email-адресу, который более не используется ни для каких целей. При этом пароль для этого почтового ящика и учетной записи на сайте умышлено совпадают. После Tripwire регулярно проверяет, не пытался ли кто-либо посторонний войти в почту с использованием данного уникального пароля. Как только подобное происходит, сайт можно считать скомпрометированным, так как пользовательские данные попали в руки некой третьей стороны.
В опубликованном недавно научном докладе (PDF) исследователи пишут, что таким образом им удалось завести аккаунты более чем на 2300 сайтах. В конце периода наблюдений обнаружилось, что неизвестные злоумышленники узнали учетные данные от 19 из них, причем пользовательская база одного из этих ресурсов насчитывает более 45 000 000 человек.
Хотя специалисты попытались связаться с операторами всех пострадавших ресурсов, к их огромному удивлению, ни один из сайтов в итоге не уведомил пользователей об утечке и компрометации данных.
Чтобы иметь возможность судить о том, что компрометации точно повергся изучаемый сайт, а не почтовый провайдер, специалисты создали более 100 000 контрольных почтовых ящиков и в случае выявления бреши сверялись с ними.
«Меня приободрил тот факт, кто крупные сайты, с которыми мы контактировали, восприняли нас со всей серьезностью. Но я был весьма удивлен, когда никто не предпринял никаких действий на основании полученных нами результатов. На самом деле, компании вообще не стремились помогать нашему исследованию, ведь наша работа подвергала их огромным финансовым и юридическим рискам», — рассказывает глава исследовательской группы и профессор компьютерных наук Алекс Сноерен (Alex C. Snoeren).
Однако на простом выявлении факта компрометации сайта исследования не заканчиваются. Также Tripwire способен обнаруживать ресурсы, хранящие пароли в формате простого текста. Для этого инструмент может, например, создать несколько аккаунтов-ловушек на одном сайте, используя для одних совсем простые пароли, а для других очень сложные. Если атакующие в итоге скомпрометируют все эти учетные записи, проверяемый ресурс, скорее всего, хранит пароли в формате простого текста, или защищает их ненадежным алгоритмом, вроде MD5. Если же компрометации подвергнутся только простые пароли, значит, пользовательские данные все же защищены, а злоумышленники, возможно, использовали обычный брутфорс.
Исходные коды Tripwire уже были опубликованы на GitHub. Разработчики инструмента надеются, что их разработка пригодится компаниям, которые смогут применять Tripwire как дополнительную систему для обнаружения утечек.
Фото: UCSD
|
|