Comments 42
Страшно жить на белом свете становится.
Не даром развелось много бесплатных CDN.
Простите, а кто кроме CloudFlare еще?
googleapis, например, хостит некоторое количество библиотек.
CloudFlare уже сам по себе стал очень весомой проблемой безопасности.
Стоит сворачивать эту лавочку по впихиванию его везде и всюду.
Не можете поведать? Можно отдельной статьей, думаю многим будет интересно.
Пока известна ровно одна проблема с CF, они плевали на незаконные даже в РФ приказы Росцензуры, ну так это кому проблема, а кому только плюс.
И в чем же он «проблема безопасности»?В чем может быть проблема если Сбербанк в личный кабинет подключит js файл с сайта «Васи Пупкина»?
И это тоже. См. ниже про Video.js и внезапную гугланалитику (которая сейчас задокументирована, впрочем, после воплей в тикетах) — у них версия на CDN отличается от оригинальной ровно на гугланалитику.
И это далеко не самое плохое, что может внезапно прилететь от CDNа со скриптами.
Правда, для того чтобы об этом узнать надо исполнить сторонний плагин, который инжектит своё барахло в контекст страницы. И естественно может быть подменён злобным дядей.
Тем, что он является глобальным MitM, который работает в обход шифрования и контролирует около 10% крупных сайтов и около 5% всех сайтов вообще. Вас всё ещё ничего не настораживает?
Статья вот: http://cryto.net/~joepie91/blog/2016/07/14/cloudflare-we-have-a-problem/ — это сводка. Ссылки дальше в ней же.
Вы же думали что «бесплатные» сервисы существуют от переизбытка филантропии у компаний?
С чего вы решили, что я так думаю? =)
Я, вроде бы, не давал повода.
С youtube, например, тоже некоторые далеко не сразу замечают, что всё не так, как можно было бы подумать:
Problem is, people see YouTube as video hosting service when it actually is a service that gets their video and try to make money out of it.
Ха. Например, если вы тянете VideoJS с их CDN — он вам подсовывает свою гугл аналитику.
https://www.w3.org/TR/SRI/ — если с умом подходить, то не могут. Сие уже поддерживает Chrome и Firefox, то бишь можно указать хеш файла, который ожидается, если придет что-то иное, то среагировать на сие событие.
Пардон, не увидел ссылку akaluth выше.
Указывайте хэш вместе с подключаемым файлом, актуальные браузеры отклонят загрузку измененного файла.
Вместо этого жертву атакуют при помощи невинного JavaScript файла, скрытого в рекламе или «вшитого» прямо в страницу вредоносного сайта.
Если речь идет о рекламе в iframe и коде, который выполняется в iframe, тогда это интереснее, но детали не описаны.
А где можно готовый эксплойт посмотреть?
Куки нельзя, только данные в теле ответа.
CRIME позволяет с помощью нескольких запросов побайтово подбирать содержимое cookies, наблюдая за значениями, которые выдаёт zlib. Эксплоит расшифровывает значение cookies по 4-6 запросов на каждый байт base64
До настоящего момента злоумышленнику необходимо было активно управлять трафиком, идущего от сервера к пользователю. HEIST позволяет убрать это ограничение.
Мне показалось, что речь идет о чтении отправляемых cookies. Мало какой сервер будет отправлять один и тот в ответ set-cookies раз за разом. О чем тогда идет речь?
Текст как будто перевели с помощью PROMT 97. Не сказано про главную особенность — необходимо, чтобы один из параметров запроса выводился в ответе, т.е. атакующий должен иметь возможность вставить свой текст в ответ.
HEIST также эффективен против HTTP/2
Не просто эффективен, HTTP/2 снимает ограничение выше, для эксплуатации атакующему не требуется вывод параметра в ответе.
В статье ничего не сказано про защиту. Проблема в том, что Fetch API позволяет отправлять запросы на сторонние сайты с авторизационными куками (режим no-cors). Сейчас прорабатывается стандарт для атрибута кук SameSite. Он позволяет задать политику использования кук только в пределах сайта, что тем самым ограничивает отправку кук со сторонних сайтов и нейтрализует данную атаку. Хром >51 уже поддерживает SameSite-куки.
Так вот вопрос в том — есть универсальная техника, которая позволяет заставить сервер делать reflect-данных в запросе? Или же все зависит от конкретного сервера и конкретной страницы?
Вот ходи теперь в интернет без блокировщиков рекламы.
Если кому интересно как работает атака, но читать оригинальные 26 страниц — TL;DR — есть неплохая статья на arstechnica.com
Там же есть и ссылки на описания Breach и Crime в стиле научпоп — не глубоко но подробнее чем — "Эээ, у нас проблема, назвали heist, интернет сломан, мы все умрем."
HEIST позволяет получить зашифрованную информацию в HTTPS канале в виде открытого текста