Не только вредно, но и полезно
25 апреля 2017
Из года в год не утихает противостояние исследователей, заявляющих о найденных багах, вызывающих как минимум конец света, и компаний-разработчиков, которые со своей стороны утверждают, что описанное исследователями находится в пределах нормы. «Это не баг, это фича!» — утверждают в таких случаях разработчики.
Справка
Фича (от англ. feature – особенность, свойство, признак) – некий функционал, не описанный, но имеющийся в приложении или устройстве. Особенность поведения или функционирования, не влияющая на работу основного (описанного в документации) функционала.
Как правило, фичи появляются в результате неполной проработки ситуаций, в которых будет работать программа, в том числе и в зависимости от поведения пользователя. Скажем, возможность копать снег смартфоном – вполне даже полезная иногда фича :-)
Баг, в свою очередь – это отклонение от описанного или предполагаемого функционала. Например, ситуация, когда или программа работает не так, как предполагалось, или с ее помощью выполняются действия, для которых она не предназначена.
Также баги возникают в результате ошибок при разработке и тестировании – в том числе из-за неполного охвата тестами всех возможных ситуаций, ошибок в библиотеках и т. д.
Баги (и уязвимости как их частный случай) существуют, наверное, во всех программах, кроме "Hello, word!", но значимость у них – самая разная. Дело в том, что далеко не всегда баг проявляется сам по себе. Скажем, для внедрения эксплойта может понадобиться полный доступ к компьютеру, да еще и с правами администратора. Но в этом случае (если уж злоумышленник получил такие права) зачем мучиться с эксплойтом, если вредоносное действие можно совершить «руками»?
И это – одна из причин, по которой некоторые баги могут не закрываться фирмами-производителями: их проявление в реальных условиях крайне маловероятно. Хотя, конечно, всякое случается…
Однако рассмотрим серьезный пример:
Google отказалась устранять баг на странице входа в учетную запись Google (https://accounts.google.com/ServiceLogin?service=mail), связанный с параметром continue. Более того, корпорация заявила, что не считает этот баг уязвимостью, сообщает исследователь по безопасности Айдан Вудс (Aidan Woods), который сообщил компании о найденной ошибке и получил ответ.
Добавление параметра continue в URL сервера Google.com позволяет при правильном введении пароля перенаправить пользователя в тот сервис Google, в который он намеревался войти.
Для того, чтобы избежать фишинговых ссылок, Google ограничила работу параметра continue серверами в домене google.com. Таким образом, редирект может выполниться, например, на drive.google.com или docs.google.com, но не может на example.com. Айдан Вудс нашел способ, как это ограничение обойти. Баг, по мнению Вудса, заключается в том, что сервер Google никак не проверяет безопасность ссылки, указанной после параметра amp, а также в том, что ссылка может быть любая, на любой сайт в мире (иначе смысл технологии нарушается).
Примечательно, что в блоге Google Webmasters представители компании еще в 2009 г. написали, что не считают открытый редирект с сайта Google.com уязвимостью.
http://www.cnews.ru/news/top/2016-08-31_google_otkazalas_ustranyat_uyazvimost_na_stranitse
Фича? Фича. Но баг ли? Вот это вопрос. Технология изначально предназначена для удобного перехода между ресурсами, Может она использоваться и для перехода между ресурсами партнеров. Внедрение механизма регуляции доступа потребует не просто доработки технологии (скорее всего, в этом случае она не так уж и сложна), но, возможно, породит новые баги. Например, в случае использования некоей внутренней базы ресурсов – возможность их подмены.
Действительно, вышеописанное – отличная возможность для фишеров, но по сути, чтобы противодействовать этой уязвимости, нужно просто не забывать старый добрый совет: не кликать по ссылкам в подозрительных письмах. А если кликать, то никакие усилия Google не спасут.
#терминология #технологии #эксплойт #уязвимость #настройки_Dr.Web #Родительский_контрольАнтивирусная правДА! рекомендует
Если кто-то заявляет о чудодейственном лекарстве, скором наступлении конца света и т. п.– не поленитесь выслушать аргументы противоположной стороны. Верить любым заявлениям точно не стоит, поскольку в случае с информационной безопасностью:
- важен не баг, а наличие работающего эксплойта – т.е. технологии реализации бага;
- возможно, цена исправления бага слишком высока и может исчисляться миллионами. Окупится ли исправление такого бага, если вероятность его использования злоумышленниками мала? И если нет — есть ли смысл тратить средства на его устранение?
Отличная новость для пользователей Dr.Web Security Space: для защиты от перехода на вредоносный ресурс есть Родительский контроль Dr.Web и его черные списки (все помнят, что недавно компания «Доктор Веб» смогла вдвое уменьшить объем базы черных списков без потери эффективности?)
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
14:25:09 2018-07-26
Неуёмный Обыватель
02:59:46 2018-07-05
alex-diesel
14:42:22 2018-04-16
vasvet
12:36:05 2018-04-01
Toma
16:33:40 2018-03-02
Littlefish
23:45:50 2017-06-02
AntonIT
15:38:31 2017-04-26
Аналитикам google "виднее"..
кРаСаВчИк
10:21:08 2017-04-26
solec
00:00:08 2017-04-26
Luger
23:48:20 2017-04-25
stavkafon
23:34:59 2017-04-25
razgen
23:20:29 2017-04-25
**********
На сегодняшний день, безусловно, об этом даже не может идти и речи.
Но описываемое событие, связанное с отказом компании Microsoft выпускать патч для обнаруженной уязвимости TCP/IP в Windows XP происходило давно, в 2009 году. В то время Windows XP ещё не потеряла актуальность и была самой используемой операционной системой в мире.
Marsn77
22:49:33 2017-04-25
kva-kva
22:38:49 2017-04-25
mk.insta
22:24:37 2017-04-25
ek
22:12:04 2017-04-25
duduka
21:34:05 2017-04-25
НинаК
21:16:50 2017-04-25
L1t1um
21:10:22 2017-04-25
Dvakota
20:56:22 2017-04-25
orw_mikle
20:39:21 2017-04-25
В...а
20:24:34 2017-04-25
vla_va
20:08:51 2017-04-25
iAFC
17:58:32 2017-04-25
Ruslan
17:45:27 2017-04-25
user
17:33:45 2017-04-25
Шалтай Александр Болтай
16:46:15 2017-04-25
dyadya_Sasha
15:46:43 2017-04-25
Vlad X
15:23:16 2017-04-25
Раш КХ
15:21:22 2017-04-25
Верните Неуёмного
14:45:37 2017-04-25
Иногда различие между багом и фичей отсутствует. А если вы представили для кого-то серьезного специалиста интерес, то будьте уверены, баг для получения ключика к вам он всё равно найдет. Поможет только уход в тайгу ночью с обрывом всех коммуникаций.
krant
13:58:31 2017-04-25
Natalya_2017
13:31:45 2017-04-25
iiwanc
13:22:32 2017-04-25
a13x
12:51:19 2017-04-25
forrus
12:40:57 2017-04-25
Alexander
12:21:17 2017-04-25
vum
11:38:33 2017-04-25
GREII
11:03:07 2017-04-25
Татьяна
10:18:24 2017-04-25
eaglebuk
09:32:16 2017-04-25
tigra
09:12:40 2017-04-25
razgen
09:12:03 2017-04-25
Влад
09:02:45 2017-04-25
Mefch
08:48:44 2017-04-25
maestro431
08:27:33 2017-04-25
Damir
07:49:38 2017-04-25
kozinka.ru
07:45:57 2017-04-25
maxtat
07:29:32 2017-04-25
Пaвeл
07:15:42 2017-04-25