Locked History Actions

Auto-complete forms attacks

Žodis angliškai

Auto-complete forms attacks

Žodis Lietuviškai

Auto-complete formų atakos


Paaiškinimai

Auto-complete forma yra pildoma, kai vartotojas jungdamasis prie tam tikros paslaugos, internete įveda savo vartotojo vardą ir slaptažodį. Jei vartotojas leidžia naršyklei įsiminti šiuos duomenis — jam nebereikia šių duomenų atsiminti pačiam. Tiesiog iš sąrašo pasirenkamas vartotojas, o naršyklė automatiškai įveda slaptažodį. Tai atrodytų labai patogu, tačiau jei programišius pavoktų failą (ar sugebėtų peržiūrėti jo turinį) su visais jūsų prisijungimo duomenimis (tai gali būti ir banko kortelių duomenys), jis galėtų pilnai pasisavinti jūsų asmenybę internete. Nors interneto naršyklės yra nuolatos tobulinamos, tačiau internete nesunkiai galima surasti informacijos apie bet kuriuos naršyklės auto-complete duomenų vagystę. Reikia pastabėti, kad prisijungimo duomenis galima pavokti net neapsilankius kenksmingame puslapyje.

  • Kaip galima pavokti auto-complete duomenis? Didelė dalis vartotojų kiekvieną dieną naudojasi JavoScript programomis: įvairūs aktyvūs elementai html puslapiuose (pvz.: laikrodis ar skelbimų lenta), internetiniai žaidimai, facebook duomenų perdavimas. Nors minėtos JavaScript programos veikia sparčiai, bei atrodo gražiai, bet JavaScript atveria kelią programišiams, nes taikant minėtą programavimo kalbą galima stebėti vartotojo klaviatūros mygtukų paspaudimus ir netgi per atstumą juos emuliuoti. Aptarkime pavyzdį, kaip galima pavokti asmeninius duomenis. Programišius, apsimetęs jūsų draugu (siuntėjo adresas bus kaip vieno iš jūsų draugų), jums nusiunčia nuorodą į internetinį žaidimą ar kokią nors įdomią naujieną. Jūs atsidarote šią naujieną ir skaitote, o fone yra sukurti nematomi laukai pavadinti populiariais pavadinimais: email, password ir pan. Tada JavaScript komandomis yra emuliuojami jūsų klaviatūros paspaudimai ir iš auto-complete formos duomenys yra įkeliami į minėtus laukus. Šiuos duomenis perima programišius emuliuodamas enter klavišo paspaudimą. Ši technika galioja visoms web naršyklėms išskyrus Googe Chrome. Minėta naršyklė neleidžia emuliuoti klavišų paspaudimų. Šiuo atveju draugas jums atsiųs nuorodą į internetinį žaidimą, kuriame valdymas vyksta naudojant rodykles. Kaip matome JavaScript atveria kelią asmeninių duomenų vagystei. Vienintelis būdas išvengti šios atakos yra neleisti naršyklei atsiminti asmeninių duomenų.