Добро пожаловать на мой блог

Собственно о чем речь?

Это блог! В котором я веду свои заметки и копи-пасты с других сайтов. В основном это не что иное как дневник. Приятного чтения.

Как сделать себе такую панель?

Это можно выяснить перейдя по ссылке »

Вход в блог

Забыли/потеряли пароль?

Регистрация закрыта

Мне жаль, но регистрация на этом блоге закрыта!

Для того, чтоб получить регистрацию свяжитесь с владельцем блога nick {at} homolibere {dot} info.

Note: If you are the admin and want to display the register form here, log in to your dashboard, and go to Settings > General and click "Anyone can register".

Не все так хорошо в Google Gears

На проходящей в Вашингтоне конференции Black Hat специалист по кибербезопасности Майкл Саттон (Michael Sutton) рассказал об опасностях, которые могут угрожать пользователям в связи с развитием офлайновых веб-сервисов.

Офлайновые веб-сервисы постепенно набирают популярность. В качестве примера можно привести почтовую службу Gmail, веб-интерфейс которой с недавнего времени способен практически полностью функционировать при отсутствии соединения с Интернетом. Это не единственный сервис Google, обладающий таким полезным свойством и использующий для этого приложение Gears.

На практике такой функционал достигается за счёт формирования локальной копии части базы данных сервера на клиентском компьютере. И именно здесь кроется опасность, отмечает Саттон. Если веб-сайт является уязвимым к хакерским атакам (Саттон упоминает SQL-инъекции и межсайтовый скриптинг), то компьютер пользователя в таком случае также становится уязвимым: информация из его локальной базы данных может попасть в руки злоумышленников. И это вовсе не умозрительная угроза: эксперт проверил свои догадки на практике, воспользовавшись уязвимостью некоего ресурса Plymo (эта уязвимость уже устранена по его наводке).

Наиболее вероятный сценарий, которым будут пользоваться киберпреступники, по мнению Саттона, заключается в рассылке своеобразных фишинговых писем, которые будут завлекать пользователей не на фальшивые сайты, а на вполне легитимные, но уязвимые веб-ресурсы. После этого с помощью браузера пользователя злоумышленники смогут добраться до данных из офлайновой базы.

При этом совершенно неважно, насколько хорошо защищён компьютер пользователя: никакой антивирус здесь не поможет. Также неважно, насколько хорошо продумана защита инструмента, который позволяет организовать работу в офлайне. Важно то, насколько ответственно к вопросам безопасности относятся администраторы ресурсов, предоставляющих офлайн-сервисы.

«Gears — потрясающий инструмент, и Google провёл отличную работу по обеспечению безопасности этой технологии, — говорит Саттон. — Но если вы внедрите её в уязвимый сайт, вы подставите своих клиентов».

источник

»crosslinked«

Google , , , , ,
февраля 19, 2009 By homolibere Add a comment
Home > Google > Не все так хорошо в Google Gears
Comments (0) Trackback Leave a comment
  1. No comments yet.

Allowed tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Trackbacks (0 ) Detail Trackback