Компания winlanding.ru занимается разработкой и продвижением сайтов с 2006г. За это время наши специалисты накопили огромный опыт комплексного сопровождения клиентов от разработки новых и модернизации существующих сайтов, до широкомасштабных рекламных кампаний в Интернете.

Докладчик начал свое выступление с пугающей статистики. Оказывается, половина интернет-магазинов России сегодня не могут похвастаться нормальными настройками защиты, а значит, они легко уязвимы, время от времени подвергаются фишингу и различным атакам. В Америке эта цифра еще выше и достигает 7 из 10.

Судя по последним нововведениям, Google надоели дыры, взломанные сайты и доры. Сравнительно недавно ребята запустили инструмент для проверки дружественности онлайн-ресурса к мобильникам. Появилось множество отчетов о юзабилити в Google Webmaster Tools и куча меток в результатах поисковой выдачи.

Ранее Google предупреждал, что с 21 апреля 2015-го года мобильная и традиционная выдача будут отличаться. Также поисковик намерен понизить в выдаче сайты, над которыми нависла даже минимальная угроза взлома.

Юрий Титков призвал всех присутствующих забыть о нюансах выдачи и получении прибыли, а задуматься об онлайн-безопасности. Оказывается, необязательно быть вездесущим хакером или специалистом по кибербезопасности. На личном примере спикер рассказал, как он решил зайти в Yandex, чтобы проверить парочку магазинов на уязвимость. XSS-дыра была обнаружена сразу:

http://searchenginesru.s3.amazonaws.com/pics/2015/Titkov_2.jpg

Подобным уязвимостям почему-то не уделяется должного внимания. Такое мнение ошибочно: в HTTP-Cookie или на страничке можно найти вагон и тележку уязвимых данных.

http://searchenginesru.s3.amazonaws.com/pics/2015/Titkov_4.jpg

Действительно ли все печально? С точки зрения SEO все очень даже хорошо! В качестве примера Титков привел пример веб-сайта Дворца Украины. Ребята решили «пошалить», взломали его и сменили мета-дескрипшен:

http://searchenginesru.s3.amazonaws.com/pics/2015/Titkov_5.jpg

Далее спикер рассказал о серьезных атаках на Facebook. Есть специальный скрипт, который собирает трафик на Фейсбуке. Называется он likejacking. Кстати, вы можете и сами с ним побаловаться. Для этого потребуется взять сам скрипт вот здесь: http://www.emoticode.net/javascript/facebook-likejackingclickjacking-example-on-youtube-videos.html  Далее нужно подобрать к нему крутецкое видео с котами или сиськами. Вот как это выглядит на деле:

http://searchenginesru.s3.amazonaws.com/pics/2015/Titkov_7.jpg

Кстати, в Google до сих пор можно найти взломанные сайты. Сделать это могут даже школьники.

http://searchenginesru.s3.amazonaws.com/pics/2015/Titkov_9.jpg

Не надо быть хакером, чтобы получить доступ к любой системе, считает Юрий. Например, практически любой аккаунт в facebook можно взломать в течение нескольких часов. Как это сделать? Да очень просто! Зайдите на страницу сотрудника любой компании, которая вас заинтересовала, и познакомьтесь с ним. Нажмите кнопку восстановления пароля, узнайте ответ на секретные вопросы (Фильм «Иллюзия обмана» вам в помощь), посмотрите, какие именно сервисы подвязаны под Facebook account. Оттуда недалеко до личной почты, которая ведет на корпоративную. Внутренние интерфейсы откроют вам доступ к паролю от Gmail. Ну а Gmail – это наше все.

Одним словом, чтобы взломать чей-то аккаунт, вам просто нужно уметь общаться с людьми. Это наводит на определенные выводы:

  1. Если на сайте присутствуют поисковые формы, нужно защитить их.

  2. Не вздумайте переходить на https – это далеко не так круто, как вы думаете.

  3. Open Source не так крут, как могло бы казаться многим. Использование Опен Сорс должно быть по максимуму безопасным.

Позаботьтесь о безопасности своего сайта и себя в онлайне. Особенно это касается тех юзеров, которые активно пользуются продуктами фирмы Майкрософт.

 

 

Добавить комментарий


Яндекс.Метрика