Comments 42
Страшно жить на белом свете становится.
Не даром развелось много бесплатных CDN.
Простите, а кто кроме CloudFlare еще?
googleapis, например, хостит некоторое количество библиотек.
Если в контексте вектора атаки "cf или google подсовывает вредоносную библиотеку вместо jquery.min.js", то не вижу.
Вроде ещё incapsula предлагает free, но без tls'а.
CloudFlare уже сам по себе стал очень весомой проблемой безопасности.
Стоит сворачивать эту лавочку по впихиванию его везде и всюду.
Не можете поведать? Можно отдельной статьей, думаю многим будет интересно.
Пока известна ровно одна проблема с CF, они плевали на незаконные даже в РФ приказы Росцензуры, ну так это кому проблема, а кому только плюс.
И в чем же он «проблема безопасности»?В чем может быть проблема если Сбербанк в личный кабинет подключит js файл с сайта «Васи Пупкина»?
И это тоже. См. ниже про Video.js и внезапную гугланалитику (которая сейчас задокументирована, впрочем, после воплей в тикетах) — у них версия на CDN отличается от оригинальной ровно на гугланалитику.
И это далеко не самое плохое, что может внезапно прилететь от CDNа со скриптами.
Правда, для того чтобы об этом узнать надо исполнить сторонний плагин, который инжектит своё барахло в контекст страницы. И естественно может быть подменён злобным дядей.
Тем, что он является глобальным MitM, который работает в обход шифрования и контролирует около 10% крупных сайтов и около 5% всех сайтов вообще. Вас всё ещё ничего не настораживает?
Статья вот: http://cryto.net/~joepie91/blog/2016/07/14/cloudflare-we-have-a-problem/ — это сводка. Ссылки дальше в ней же.
Вы же думали что «бесплатные» сервисы существуют от переизбытка филантропии у компаний?
С чего вы решили, что я так думаю? =)
Я, вроде бы, не давал повода.
С youtube, например, тоже некоторые далеко не сразу замечают, что всё не так, как можно было бы подумать:
Problem is, people see YouTube as video hosting service when it actually is a service that gets their video and try to make money out of it.
Ха. Например, если вы тянете VideoJS с их CDN — он вам подсовывает свою гугл аналитику.
https://www.w3.org/TR/SRI/ — если с умом подходить, то не могут. Сие уже поддерживает Chrome и Firefox, то бишь можно указать хеш файла, который ожидается, если придет что-то иное, то среагировать на сие событие.
Пардон, не увидел ссылку akaluth выше.
Указывайте хэш вместе с подключаемым файлом, актуальные браузеры отклонят загрузку измененного файла.
Вместо этого жертву атакуют при помощи невинного JavaScript файла, скрытого в рекламе или «вшитого» прямо в страницу вредоносного сайта.
Если речь идет о рекламе в iframe и коде, который выполняется в iframe, тогда это интереснее, но детали не описаны.
А где можно готовый эксплойт посмотреть?
Куки нельзя, только данные в теле ответа.
CRIME позволяет с помощью нескольких запросов побайтово подбирать содержимое cookies, наблюдая за значениями, которые выдаёт zlib. Эксплоит расшифровывает значение cookies по 4-6 запросов на каждый байт base64
До настоящего момента злоумышленнику необходимо было активно управлять трафиком, идущего от сервера к пользователю. HEIST позволяет убрать это ограничение.
Мне показалось, что речь идет о чтении отправляемых cookies. Мало какой сервер будет отправлять один и тот в ответ set-cookies раз за разом. О чем тогда идет речь?
Текст как будто перевели с помощью PROMT 97. Не сказано про главную особенность — необходимо, чтобы один из параметров запроса выводился в ответе, т.е. атакующий должен иметь возможность вставить свой текст в ответ.
HEIST также эффективен против HTTP/2
Не просто эффективен, HTTP/2 снимает ограничение выше, для эксплуатации атакующему не требуется вывод параметра в ответе.
В статье ничего не сказано про защиту. Проблема в том, что Fetch API позволяет отправлять запросы на сторонние сайты с авторизационными куками (режим no-cors). Сейчас прорабатывается стандарт для атрибута кук SameSite. Он позволяет задать политику использования кук только в пределах сайта, что тем самым ограничивает отправку кук со сторонних сайтов и нейтрализует данную атаку. Хром >51 уже поддерживает SameSite-куки.
Так вот вопрос в том — есть универсальная техника, которая позволяет заставить сервер делать reflect-данных в запросе? Или же все зависит от конкретного сервера и конкретной страницы?
Вот ходи теперь в интернет без блокировщиков рекламы.
Если кому интересно как работает атака, но читать оригинальные 26 страниц — TL;DR — есть неплохая статья на arstechnica.com
Там же есть и ссылки на описания Breach и Crime в стиле научпоп — не глубоко но подробнее чем — "Эээ, у нас проблема, назвали heist, интернет сломан, мы все умрем."
HEIST позволяет получить зашифрованную информацию в HTTPS канале в виде открытого текста