Роуэн Аткинсон как председатель Евросоюза

    imageНесколько часов кряду на главной странице испанского председательства Евросоюза можно было наблюдать изображение мистера Бина, которое туда поместили хакеры, воспользовавшись XSS-уязвимостью и тем самым поимев систему безопасности стоимостью 12 млн евро. Инцедент усугубился падением сайта из-за хабраэффекта наплыва посетителей, желавших оценить сходство британского актера с премьером Испании Хосе Луисом Родригесом Сапатеро.

    В настоящее время дефейс устранен и сайт работает в штатном режиме.

    rian.ru/world/20100104/202939273.html
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 32

      +5
      вот жеж, прочитав заголовок решил что это очередной опрос BBC и хотел проголосовать за Аткинсона

      P.S. ну хоть бы скрин кто сделал, полюбоваться работой :)
        +19
        Жёлтый заголовок, подумал так же как и beliyadm.

        Кстати нашёл скрин
          +1
          Опередили меня. Надо обновлять комментарии прежде чем постить, вот какая надпись должна быть написана на мониторе у любого уважающего себя хабражителя (это мне на заметку)
          +3
          эх жаль, зачетный бы был председатель, ходил бы на заседание с мишкой
            +6
            Бьюсь об заклад, что трансляции заседаний с его участием смотрело бы полмира :-)
            +5


            Как удалось нагуглить — сайт выглядел так :)
              0
              Кстати, они не сильно по-моему похожи. Ну то есть похожи, но не в той степени, какой я ожидал.
                +1
                Они очень похожи, когда Бин строит гримасы, как на скриншоте :)
                  +36
                    0
                    Для того, чтобы получить мистера Бина из премьера Испании нужна одна итерация, из президента РФ — две.
                      –1
                      Президент Российской Федерации не нуждается в итерациях. Это Мистер Бин под него итерируется!
                  0
                  улыбка похожа
                  +2
                  этот председатель получше будет. пусть его оставят!
                    0
                    Я тоже обеими руками голосую за Аткинсона. Он крут!
                    +2
                    Я люблю этот мир
                      +21
                      Вот бывают же хакеры с чувством юмора и меры. Не «Х$@» написать большими красными буквами и не форму для ввода паролей или номеров кредиток повесить, а пошутить на тему мистера Бина как председателя Евросоюза. Взломав систему безопасности за 12 лимонов. Молодцы ребята.
                        –1
                        Эпический фейл. Но ребята действительно молодцы, в очередной раз доказали, что абсолютно защищенных систем не бывает и соотношение «количество потраченного бабла/защищенность» отнюдь не линейное.
                          –6
                          «Инцедент усугубился падением сайта из-за наплыва посетителей, желавших оценить сходство британского актера с премьером Испании» — Так они до этого не видели мистера Бина и все повалили на взломанный сайт, чтобы посмотреть на него?
                            0
                            Мыслите не так)
                            0
                            вчерашний кеш гугла показывает уже нормальный сайт. Узнать бы точную дату когда все это было
                              +6
                              12 млн. евро… В распиле денег мы не одиноки :)
                                0
                                Да, а масштабы то какие!!! (О.о)
                                  –1
                                  О бесплатной OpenBSD они не слышали, видимо.
                                    +1
                                    В OpenBSD встроена защита от XSS?
                                      0
                                      Защита от XSS стоит 12 млн евро?
                                        0
                                        Безотносительно стоимости — при чем тут OpenBSD?
                                          0
                                          Я пытался сказать, что глупо вкладывать миллионы долларов в безопасность системы (которую все равно поломали), если есть открытая бесплатная система, известная своей безопасностью.
                                            0
                                            1. Оставим в стороне затраты Испании либо кого-либо еще на обеспечение безопасности eu2010.es, я обращаю внимание не на это.

                                            2. Важно понимать, какие именно компоненты (аппаратное обеспечение, сети передачи данных, ПО и протоколы) вовлечены в работу, в данном случае, WWW, и какую роль несет каждая их указанных компонент в реализации уязвимости. Понимание, что же такое на самом деле XSS, приведет к пониманию факта, что ОС, в среде которой запущен веб-сервер, обслуживающий сайт с XSS-уязвимостью, не имеет никакого отношения к реализации этой уязвимости. Смею утверждать, что уязвимость имела бы место в случае, если веб-сервер работал бы под OpenBSD, NetBSD, Windows 3.11 либо GNU/Hurd.

                                            3. Безопасность — не результат, а процесс. Рассуждать об эффективности организации безопасности eu2010.es (равно как и об эффективности затрат на такую организацию) можно лишь, как минимум, после ознакомления с моделью угроз, которой руководствовались субъекты организации безопасности. Если угроза XSS, ведущая к помещению на сайт произвольного изображения, была рассмотрена как вероятная, но не имеющая деструктивного эффекта, а также были предусмотрены меры противодействия и восстановления — значит с точки зрения политики безопасности все сделано верно, остается лишь открытым вопрос реализации этой политики.
                                              0
                                              Вы все правильно говорите. Разумеется, никакая ОС не обеспечит защиту от XSS. При желании защиту от XSS можно реализовать в CMS.

                                              Я в свое время написал такой движок. Защита от XSS была реализована в классе, отвечающем за работу с шаблонами. В шаблон можно было подставить только данные определенного типа — или integer или string (и, помнится, еще дату). В первом случае производилось преобразование в число, во втором — htmlspecialchars. Но что-то меня не в ту степь понесло :)

                                              В общем я ни коем образом не пытаюсь сказать что OpenBSD спасает от XSS уязвимостей. Ровно как и от слабых паролей и многого другого. Меня как раз беспокоит вопрос, касающийся затрат, который вы так настойчиво хотите отбросить. Мне не понятно, как можно потратить такую кучу денег на безопасность одного сайта.
                                                0
                                                Я бы начал с поиска первоисточника указанной суммы. А то окажется, как в известном анекдоте: «И не выиграла, а проиграла...».
                                  +3
                                  Всегда вызывает массу позитивных эмоций вот такие вот «добрые» проделки хакеров.
                                  тем более когда им противостоит такие мощные «бюджеты защиты»
                                    0
                                    Аткинсона в Президенты Евросоюза! Блэра на мыло! (или он уже сам отказался?)

                                    Only users with full accounts can post comments. Log in, please.