Google пожертвовал безопасностью своей главной страницы ради первоапрельской шутки

1 апреля Google в качестве шутки показывала пользователям «зеркальное отражение» своей главной страницы. Как сообщает компания Netcraft, занимающаяся вопросами безопасности, ради этого поисковик отключил на своём сайте защиту от серьёзной уязвимости.

076761ff28b227.png Как отмечает Netcraft в опубликованном 17 апреля отчёте, уязвимостью на сайте Google, вероятно, никто не успел воспользоваться, однако в случае быстрого обнаружения она могла бы представлять серьёзную опасность для пользователей.

По словам представителей фирмы, чтобы создать эффект отражения на «зеркальном» домене com.google, сотрудники поисковика с помощью параметра «igu=2» отключили на google.com заголовок X-Frame-Options, который препятствует отображению главной страницы Google на других сайтах.

f9875bd00d013d.png Таким образом ради первоапрельской шутки программисты корпорации открыли на google.com уязвимость под названием clickjacking (дословно «угон кликов»). С её помощью злоумышленники могли вынуждать пользователей нажимать на различные кнопки с посторонних сайтов, думая, что они находятся на Google, а также «подкладывать» скрытый интерфейс страницы под видимый, делая результаты кликов по кнопкам непредсказуемыми. В частности, уязвимость позволяла без ведома пользователя полностью отключать у него все поисковые фильтры.

71cb4e778b42da.png Netcraft предполагает, что снижение уровня безопасности не было случайным, так как для шутки Google самой понадобилось воспользоваться clickjacking, и она была вынуждена отключить эту защиту полностью. Проблему можно было бы решить другим путём, однако он оказался бы слишком трудоёмким.

«Кликджекингу» зачастую подвергаются и другие крупные сервисы вроде PayPal или Facebook. Например, в использовании этой уязвимости в начале апреля заподозрили производителя водки Absolut или её партнёров. Тогда пользователи Facebook массово подписывались на страницу Absolut в соцсети, не зная, что нажимают лайк, предположительно выполняя действия на каком-другом сайте.

#самизнаетекакиекнопки

Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.

©  TJournal