Омани про безпеку в інтернеті

Британське видання The Register опублікувало статтю під назвою “Чому інтерфейс сучасних браузерів шкодить безпеці або як мінімалізм став поганим”. У статті наголошується, що безпека сьогодні стала головним гаслом, і заради неї готові на все.
Навіть уповільнити цілий інтернет, щоб дати відчуття більшої захищеності. Однак мало хто при цьому замислюється, чи дійсно в інтернеті стає безпечніше? Наприклад, перехід з http https не захищає користувача або сервер, який віддає йому дані від злому. А інженер-розробник Google Chrome Ерік Лоуренс також говорить, що погіршують безпеку і інтерфейси сучасних браузерів, хоча на папері вони, знову ж, всіма силами її підвищують.
За словами експерта, сьогодні розробники браузерів перебувають на якійсь лінії смерті», з одного боку якої довірений контент, з іншого – сфера фішерів і кіберзлочинців. При цьому ця лінія з кожним роком все більше розмивається. Кордон між цими двома безпечної і шкідливою територіями проходить по адресному рядку браузера і відкритими веб-сторінками.
«Якщо користувач довіряє пікселям над «лінією смерті», йому здається що він в безпеці, – говорить Лоуренс. – Однак якщо його переконають довіряти пікселям під цією лінією, вони загинуть».
Браузери намагаються протистояти зловмисникам за допомогою невеликих іконок поруч з адресою сайту. Натиснувши на неї, можна отримати більше інформації про використання HTTPS, запити розташування тощо. Але ці самі іконки відкривають шлях для атаки зловмисників, які вчилися їх підробляти, а кнопки блокування перетворюють на посилання для завантаження шкідливого ПО.
Читайте також: HTTPS: Google за безпеку
У 2005 році в Firefox виявили «дірку» у фавиконах – крихітних логотипах сайтів, які відображаються на вкладках. Вона дозволяла виконувати віддалений код.
Менше інтерфейсу на руку зловмисникам
Наступний етап розмиття кордонів «лінії смерті» стався в 2012 році, коли Microsoft перевела інтерфейс Internet Explorer в Windows 8 на мінімалістичний стиль. Лоуренс тоді працював у команді розробників цього браузера і протестував проти такого рішення. На його думку, воно робило «лінію смерті» схожою на контент.
«Internet Explorer розробляли з філософією «контент над технологічними інструментами». З-за цього не стало надійних довірених пікселів, – говорить фахівець. – Я благав, щоб постійна іконка про походження і про безпеку в правому нижньому куті. Але моє прохання відхилили».
Лоуренс згадує, як один з працівників Microsoft створив візуально ідеальний сайт Paypal, який був помилковим, обманював веб-браузер і надавав фальшиві індикатори. Це особливо яскраво проявлялося в повноекранному режимі браузера. Лоуренс згадує, що це лякало, і єдиною надією було те, що повноекранним режимом (F11 на Windows) ніхто не користується.
Мінімалістичні інтерфейси сучасних браузерів розв’язали руки зловмисників, які створюють у браузері браузер. Вони імітують вигляд відомих веб-навігаторів, які при цьому роблять небезпечні сайти як би безпечними. Дізнатися таку копію з першого погляду буває важко навіть досвідченому експерту, говорить Лоуренс.
У 2007 році команда з безпеки Microsoft також займалася цією проблемою браузера в браузері. Експерти опублікували чотири статті, в яких говорилося, що подібна версія сайту дуже переконлива, тому що копіює дрібні деталі інтерфейсу, з кирилицею включно.
З появою HTML 5 справи погіршилися, адже веб-сайти, а значить, і зловмисники отримали можливість примусово переводити браузер в повноекранний режим. Так вони можуть ретельніше приховати інтерфейс браузера користувача, залишивши тільки шкідливу веб-сторінку.
Мінімалізм не дає дізнатися більше
Головна концепція мобільного дизайну сьогодні – мінімалізм. Але, прибравши різноманітні кнопки і вікна, розробники позбавили користувачів коштів, щоб побачити потенційну загрозу.
«Ми спостерігаємо набагато більше кліків по фішинговим посиланнями на мобільних девайсах з-за того, що на них значно важче отримати потрібну інформацію, – говорить Шон Річмонд, старший технологічний консультант компанії Sophos. – Розширити поле URL значно складніше, і тому користувачам важче отримати інформацію для прийняття рішення».
Поштові клієнти також страждають від такого. Наприклад, плиткова версія Outlook розміщує повідомлення про довіреності сайту в сфері, яку зловмисники можуть контролювати, – це область контенту. Шахраї можуть легко підробити його.