Иногда бороться с нововведениями для обеспечения более высокой степени безопасности может быть труднее, чем просто принять их. Так случилось по крайней мере c одной компанией, которая пошла на многое, чтобы избежать появления предупреждений браузера о незащищенном соединении.

Герой этой истории — компания ShopCity.com, бизнес которой состоит в том, чтобы предоставлять традиционным ритейлерам онлайн-площадку для торговли товарами. Недавно эксперт Трой Хант (Troy Hunt), создатель сервиса HaveIBeenPwned, получил наводку на уникальный случай обхода средств защиты.

На всех сайтах, находящихся в управлении компании, ShopCity.com использовала “псевдополя для ввода пароля”, чтобы браузеры Google Chrome и Firefox не показывали предупреждение “Незащищенное соединение” в адресной строке браузера.

Получив информацию о неоднозначных действиях ShopCity.com, Хант провел небольшое расследование и обнаружил, что сайты, находящиеся под управлением компании, обходят предупреждения о незащищенном соединении при помощи поддельных окон для ввода учетных данных.

“Во-первых, предупреждения браузера о незащищенности соединения возникают только на страницах, где требуется ввод пароля, — пишет Хант в своем блоге. — Да, в форме это поле указывается как поле ввода пароля, но на самом деле это обычное текстовое поле. Это определенный стиль класса CCS, но при клике на поле ввода пароля происходит нечто необычное”, — пишет Хант. Это “нечто необычное” зашито в исполняемый скрипт.

“У нас появляется совершенно новый класс объектов в этом поле. Кроме того, естественно, клик в поле ввода сам по себе задает текст-заполнитель (плейсхолдер) в пустой строке кода. Что делает этот класс объектов? Просто меняет шрифт. Как вы уже могли догадаться, этот “шрифт” предполагает замену каждого символа пароля на “звездочку”, что обычно случается при вводе текста в поле для пароля”, — объясняет Хант.

По словам эксперта, в конечном итоге “это псевдополе для пароля, которое создано для того, чтобы ввести пользователя в заблуждение и предотвратить возникновение уведомления браузера о возможных рисках ввода пароля на странице”.

В своем блоге Хант рассказал, что наводку на недобросовестный сайт ему дала пользовательница, собиравшаяся воспользоваться услугами ShopCity.com. Женщина также подчеркнула, что на вопрос в адрес ShopCity.com о том, почему компания не беспокоится о защите сайтов, ей заявили, что “SSL — это в большей степени инструмент Google для монополизации прав на показ контента и в меньшей степени вопрос безопасности”.

Протокол HTTPS — ключевой элемент защиты коммуникации между клиентом и сервером, предотвращения атак перехвата и замены веб-трафика, как, например, так называемая атака Great Cannon. HTTPS — это комбинация протоколов HyperText Transfer Protocol (HTTP) и Secure Socket Layer (SSL). За счет этого HTTPS шифрует сессии между веб-браузером и веб-сервером. Отсутствие поддержки HTTPS оставляет коммуникацию между клиентом и сервером уязвимой для атак c использованием инструментов пассивного прослушивания сети.

Для Ханта злостное игнорирование инструментов безопасности — не новость. Он ссылается на случай, когда компания Oil and Gas International была до того раздражена уведомлениями о небезопасном подключении в браузере Firefox, что даже пожаловалась на эту функцию, назвав ее багом и потребовав упразднить ее.

Threatpost связался с Робом Калвертом (Rob Calvert), сетевым администратором ShopCity.com. Специалист заявил, что его смутило и удивило внимание, возникшее по отношению к компании после того, как Хант обрушился на нее с критикой.

“Мы узнали о проблеме только после публикации Троя Ханта, — сказал Калверт. — В проблеме виноват один из неопытных сотрудников, который разработал способ обхода предупреждений о незащищенной сессии. Он даже не понял, что натворил”.

По словам сетевого администратора, после публикации Ханта все сайты на платформе ShopCity.com отображают предупреждение о незащищенном соединении при вводе учетных данных. Он также подчеркнул, что до этого незащищенными были только логины пользователей, но все транзакции с онлайн-магазинами осуществлялись через шлюз PayPal, который защищен HTTPS.

“Я согласен, что прилагать дополнительные усилия к тому, чтобы скрыть предупреждения о незащищенном соединении, когда использовать HTTPS намного легче, — это полный абсурд, — оправдывается Калверт. — В данный момент мы переводим всех своих пользователей на HTTPS и к концу года выполним эту задачу на 100%”.

Категории: Кибероборона, Мошенничество