14.50.34 Скорочені URL-адреси можуть представляти серйозну загрозу безпеці | |
 В ході дослідження Віталій Шматіков з Корнельського університету і незалежний експерт Мартін Георгієв ретельно проаналізували методи скорочення URL-адрес, які використовуються Microsoft і Google в сервісах OneDrive і Maps відповідно. Результати виявилися досить невтішними. Дослідники відзначили, що для створення скорочених посилань на файли в хмарному сховищі OneDrive компанія Microsoft використовує сервіс Bitly, а самі посилання мають дуже передбачувану конструкцію. Як стверджується, це суттєво полегшує зловмисникам завдання отримання доступу до інших файлів конкретного користувача методом простого підбору посилань. Дослідникам вдалося не тільки отримати доступ до файлів, що містять деякі конфіденційні дані, але і виявити, що лише невелика частина цих файлів не була захищена від випадкового видалення і зміни вмісту. Саме ця частина файлів, позбавлена статусу «тільки для читання», була схильна до високого ризику впровадження шкідливого ПО і вірусів. Що ж стосується скорочених посилань в картографічному сервісі Google Maps, дослідникам, як стверджується, вдалося розшифрувати URL-адреси з п'ятисимвольним токенами і в точності дізнатися маршрути і поточне місце розташування користувачів. На щастя, обидві компанії відреагували на повідомлення дослідників про знайдені вразливості і внесли відповідні зміни у використовуємі сервісами OneDrive і Google Maps методи скорочення посилань. Як стверджується, компанія Google відреагувала дуже швидко і впровадила додаткові заходи захисту - функцію захисту від ботів і маркери з 11-12 символами. Компанія Microsoft була не настільки вдячною до дослідників. І хоча редмондці забрали функцію скорочення посилань з власного сервісу OneDrive минулого місяця, вони заперечують зв'язок між своїм рішенням і вразливістю, знайденими дослідниками. Існує кілька способів зробити скорочені посилання безпечніше: відмовитися від публічних сервісів на зразок Bitly на користь власних розробок, впровадити захист від інтернет-ботів за допомогою рішень на зразок CAPTCHA, а також розробити надійні API, які унеможливлять використання методу підбору для доступу до інших файлів користувача. Джерело: TNW | |
|
| |
| Всього коментарів: 0 | |