Картинка блога

Часто встречаю статьи о том как «расширить» возможности того или иного сайта. Вот еще одна статья из последнего номера Хакер подвигнулся меня высказаться о сложившейся ситуации.
Видео порталы, социальные сети, аукционы и многие другие сайты подвержены недобросовестному использованию со стороны пользователя. Самое страшное то, что сайт сам по себе имеет ту или иную функциональность, сделать то, что простому пользователю, при обычном исходе вещей делать нельзя.
Самое распространение явление, это флуд и спам (рассылка большого количества сообщений пользователям, множественные регистрации и т.п.). Во многих случаях рассылаемые сообщения еще могут содержать XSS атаку. Забавным остается то, что ошибки такого рода исправляются катастрофически медленно, или не закрываются вообще.

Видео порталы.

Большинство, если не все сайты, куда пользователи интернета ходят посмотреть видео, позволяют это видео скачать. При этом есть возможность скачать но только FLV файл пониженного качества, но и сам исходной файл, из которого был с конвертирован клип. Для обычного пользователя эта возможность закрыта, на сайте просто нет ссылок на таковые ресурсы. Однако для пользователей FireFox с незаменимым плагином Greasemonkey, позволяющем добавлять собственные скрипты к сайту. Все просто, плагин выполняет активные для сайта скрипты, которые можно скачать из общего хранилища. Какие возможности открываются. Тут во общем-то все, изменение стиля сайта, скрытие не интересных элементов и рекламы, различные дополнения для форм или блоков сайта, а также различные «расширения» возможностей, типа ссылки для загрузки видео. Вот, типичный, возможно не лучший пример загрузки видео для YouTube. А вот для Rutube, с возможностью скачать и исходной AVI файл.

Социальные сети.

О том насколько не защищен пользователь социальных сетей, на пример ВКонтакте и Однокласники я убедился из уже упомянутого выпуска журнала Хакер. Тут целый букет дыр, от рассылки любых сообщений, включая вирусы, до просмотра личных данных пользователя без его разрешения. Некоторые полезные лазейки откроет все тот-же Greasemonkey. Такое ощущение, что разработчики позаботились только о сокрытии ссылок, а не системе авторизации и аудита в целом. Наверно на это были веские причины. Для себя я уяснил, что социальные сети, это далеко не то место, где можно выкладывать личную информацию, или информацию «для друзей», и уж тем более строить «какие-то сети из друзей». По моему, все это глупость для непонимающих, что действительно происходит, или может произойти.

EBay.

Вот еще один пример сайта, со «своими тараканами». Все, думаю, давно знают, что это мировой аукцион. Но не все знают о том, что собственные ставки можно отменить. Техника «продай по максимуму» выглядит следующим образом. Регистрируем пользователя, скажем «Bob». Выставляем лот на продажу, как только появляются биды, перебиваем их Bob-ом. Если у других пользователей максимальный бид выше, ставка за лот автоматически нарастает. Как только нащупываем максимум, отменяем последний бид Bob-а.

Другие.

Кроме перечисленных, в сети есть большое множество и других сайтов, подверженных тем-же проблемам. И с каждым днем, сайтов, как и проблем становится больше.
Я как-то хотел послать письмо одному из своих предыдущих работодателей о том, что его новоиспеченный стартап подвержен жестокому флуду. Его сайт, предоставляет возможность пользователям создавать видеоканал в реальном режиме времени. С учетом количества сайтов подверженных, этому виду атак, мне кажется это будет пустой тратой моего и его времени.

Метки:, , , ,