Переход популярного социального сервиса Pinterest на протокол HTTPS открывает много новых возможностей, в том числе и для ИБ-исследователей.

На этой неделе руководство соцсети объявило об учреждении программы вознаграждения за поиск багов. Теперь пытливые исследователи могут сорвать куш посолиднее, чем фирменная футболка, которую обещали счастливчикам в прошлом мае, когда компания объявила об охоте за багами на базе популярной платформы Bugcrowd.

В новости также уделено внимание тому, что теперь Pinterest полностью поддерживает шифрование коммуникации и трафика.

«Я уверен, что совсем скоро использование HTTPS станет обязательным требованием для ведения бизнеса онлайн», — отметил Пол Морено (Paul Moreno), глава рабочей группы по информационной безопасности облачных сервисов в Pinterest.

Pinterest описывает программу на своей странице на Bugcrowd. Для начала компания предлагает выплаты от $25 до $200 за обнаружение уязвимостей в различных продуктах Pinterest, включая веб-сайт для разработчиков, мобильные приложения для iOS и Android, API-интерфейсы и рекламные страницы.

«Наша корпоративная культура основана на желании экспериментировать, и для нас переход на HTTPS становится начальной площадкой для поиска критичных багов, — подтвердил Морено. — Мы пока только пробуем в деле инициативу, в рамках которой сообщество ИБ-энтузиастов сможет получать вознаграждение за обнаружение серьезных изъянов безопасности, и будем регулярно пересматривать условия программы».

Многие из прибыльных интернет-ресурсов перешли на безопасный протокол HTTPS после нашумевших откровений Сноудена. Огромное количество случаев утечек приватных данных, демонстрирующих степень вовлеченности спецслужб в процессы скрытой слежки и сбора информации, заставило многие ИТ-компании оперативно «переехать» на HTTPS.

Морено, однако, отметил, что в процессе перехода Pinterest на HTTPS не все может быть гладко. Соцсети еще нужно разобраться со многими вещами — например, с отношениями с контент-провайдерами, которые поддерживают HTTPS и цифровые сертификаты Pinterest. Также могут возникнуть проблемы, связанные с производительностью, поддержкой старых версий браузеров, предупреждениями о типе контента и переходом с HTTPS- на HTTP-страницы.

При проведении масштабного тестирования среди пользователей соцсети (или «пиннеров») в Великобритании был обнаружен ряд непредвиденных проблем, как объяснил Морено. Пользователи столкнулись со случаями сбоя функции Pin It при использовании контента от CDN-провайдеров, и, кроме того, некоторые файлы на карте сайта не были обновлены ссылками на HTTPS-домены. Эти неприятности уже в прошлом: в настройках DNS прописан новый CDN-провайдер, а метазаголовки запросов клиента (referer) должны поддерживать переход с HTTPS- на HTTP-страницы.

«Кстати, работа с несколькими CDN-провайдерами, поддерживающими HTTPS, дала нам возможность увеличить производительность и даже получить финансовую выгоду», — признался Морено в блоге.

«В конечном итоге мы повысили степень безопасности пиннеров, внедрив шифрование и реализовав средства защиты против MitM-атак, «угона» сессий, внедрения вредоносного контента и т.д. Это открывает возможность появления новых продуктов, для которых может возникнуть потребность полностью перейти на HTTPS», — подчеркнул Морено.

Категории: Кибероборона, Уязвимости