Не надо зацикливаться на веб-векторах, которые в современном мире не представляют массовой угрозы (речь конкретно о Shellshock). Есть и другие, более актуальные и опасные варианты эксплуатации уязвимости.
Clickjacking — не единственная угроза. Несколько лет назад писал статью на эту тему — «Получение информации о пользователях» (https://forum.antichat.ru/showthread.php?t=352133). Большинство примеров уже не работают, но теоретическая часть сейчас не менее актуальна, чем раньше.
Считать ритм сердца труда не составит. Взлом алгоритма генерации ключа на основе ритма — вопрос времени.
Незаметно прижался в метро к человеку специальным девайсом — получил доступ ко всему, что у него есть.
Вы все пытаетесь уйти от темы и подменить понятия. Или реально не понимаете разницы между получением информации и ее созданием?
Насчет картинок в браузере читайте часть 4 Гражданского Кодекса и вышеупомянутый ФЗ «Об информации, информационных технологиях и о защите информации»
На черном рынке найдется все, в том числе зеленый сертификат, были бы деньги.
Certificate pinning — общее понятие, стандарта нет. Поэтому в зависимости от реализации может пропускать некоторые нежелательные сертификаты.
Я не санкционирую системные драйвера, а они выполняются. Это все код, ничем принципиально не отличающийся от кода руткитов. Среда исполнения та же и привилегии те же.
Текст менять не стал, он ничем принципиально не отличается от вашего. Хабр тот же и привилегии те же.
Программа получена пользователем легально. Запуск программы инициируется пользователем (пусть даже без его ведома) при открытии страницы, а не разработчиком. Соответственно информацию создает пользователь, с помощью программы, на использование которой он имел право.
Имеет ли право разработчик получать результат работы программы без явного согласия пользователя на это?
Может ли вообще быть легально использование чужого имущества в корыстных целях без разрешения владельца?
Конечно студенты ничего не нарушали. Они придумали и реализовали отличный виджет.
Но опять же, желтая пресса умеет вырывать слова из контекста. Могли связать написание кода и суд, пропустив важные промежуточные детали этого дела.
На хабре так принято — понимать, о чем была речь, но все равно пытаться докопаться до каждого слова и создавать спор на ровном месте? Ведь очевидные вещи — что такое хорошо, а что такое плохо.
Оговорка «простыми словами» в начале предложения не просто так. Более подробную формулировку можно расширять до бесконечности.
Если майнинг необходим для финансирования, можно прописать в правила, а не заниматься этим скрыто. Кому-то может быть необходима рассылка спама с вашего ящика через скрытый фрейм и XSS на почтовом сервере, но вы же понимаете, что это плохо.
На хабре все написано в пользовательском соглашении, что куда отправляется и какие сторонние скрипты используются для аналитики. Насчет ferra.ru думаю, что можно подать в суд, если сможете обосновать ущерб, причиненный сторонними виджетами.
Признаю, с нарушением работы ЭВМ ошибся, поскольку примерно в те годы изменил сферу деятельности.
Принадлежит ли пользователю информация, сгенерированная с использованием ресурсов его компьютера, вопрос спорный. Принадлежность информации, кстати, вообще не фигурирует в этой статье, а только ее несанкционированное копирование. Судебная практика показывает, что даже рассылка смс-спама может оказаться «несанкционированным копированием информации» на телефон пользователя…
Показывать анимацию и обрабатывать JS — это прямое предназначение браузера. Если тормозит анимация, виной могут быть недочеты реализации обработки этой анимации в браузере. Но к JS-коду разработчик браузера отношения не имеет. Так же, как разработчик компилятора не отвечает за компилируемый с помощью него код.
Скриптовая анимация — тема отдельная. Как я уже писал выше, за нее как и за JS отвечает тот, кто ее написал.
Кривые ресурсоемкие баннеры не ставят целью нарушение работы компьтера. Если баннер будет скрыто майнить биткоины, это незаконно.
Простыми словами, нельзя делать того, что юзер не знает. На всех нормальных сайтах есть пользовательское соглашение. habrahabr.ru/info/agreement/ — обратите внимание на пункт «Конфиденциальность»:
«При использовании Пользователями Хабрахабра на страницах Хабрахабра могут присутствовать коды Интернет-ресурсов третьих лиц, в результате чего такие третьи лица получают данные, указанные выше.»
Несанкционированное использование ресурсов компьютера в своих целях — явный признак вредоносного ПО. Вы же не будете спорить с тем, что троян на компьютере, который майнит биткоины — вредоносный софт. Почему тогда вызывает сомнения аналогичный JS-код?
Вряд ли имелась ввиду серверная часть. Если JS отправляет куда-то данные, с точки зрения закона не имеет значения, как эти данные дальше обрабатываются. То есть, если мой троян будет слать ваши пароли на несуществующий домен, с меня это ответственности не снимет.
Думаю, что проблема в другом. Раньше только обфускация мешала нормально читать код, но сейчас программа может быть написана на C, Java и других языках, а потом скомпилирована в JS. Соответственно, исходный код и тот код, который выполняется в браузере — не обязательно одно и то же.
Скрипт, выполняющийся в браузере, несомненно является самостоятельным программным обеспечением, а не частью браузера. Не знаю, как в США, но согласно законодательству РФ этот скрипт имеет признаки вредоносного ПО.
Рекламная анимация не является ПО и обрабатывается браузером или плагином, которые пользователь установил самостоятельно.
Проблема менталитете. Четко следуешь должностным инструкциям — жди ответных санкций.
К примеру, если при проверке режима секретности в бухгалтерии я укажу в акте все нарушения, то начнутся «случайные» ошибки при подсчете моей премии, задержки зарплаты, обнаружится нехватка средств для предоплаты проезда к месту проведения отпуска. Проверка в отделе кадров — в графике отпусков я с июля перемещусь на ноябрь. Связь — начнет чаще падать сеть в кабинете.
В любом случае, ограничение доступа к системе не является альтернативой устранению уязвимостей в ней.
При целевой атаке ограничение доступа не будет серьезной проблемой. Любой, кто работал в гос.учреждениях, знает как там обстоят дела с компьютерной грамотностью сотрудников. Вставить личную флешку, полную вирусов, в компьютер предназначенный для обрабтки секретной информацией — обычное дело.
Зачем в первом шаге получать манифест через aapt.exe, если decompileandroid.com во втором шаге его и так выдаст? А сам decompileandroid.com лучше заменить на dex2jar, JAD и apktool. Не вижу смысла заливать куда-то свои файлы, если вручную это делается так же быстро и просто.
Если говорить о причинах, то у нас три версии
И все неправильные. Никакие «хакеры» друг у друга базы не крали. Все три слива были частью одной базы, которая досталась человеку в счет долга, но оказалась не нужна, поэтому и выложена в паблик.
Из-за того что СМИ раздули из этого проблему мирового масштаба, первоисточник загуглить непросто, но тем не менее возможно. Вся информация лежит на открытом форуме и видна без регистрации (за исключением ссылок на базы).
p.s.: база, кстати, старая и давно отработанная по всем направлениям черного и серого интернет бизнеса.
Господа минусующие видимо не в курсе, что гугл игнорирует точки в логинах. Мой аккаунт username@gmail.com:pass в базе может быть записан как user.name@gmail.com:pass, что усложнит его поиск для меня, но никак не отразится на возможности авторизации в гугле.
Опасность атаки в настоящее время значительно выше, чем на момент публикации. Связано с ростом числа мобильных устройств, на которых, как правило, неактивные вкладки скрыты от пользователя, в отличие от десктопных браузеров.
Посмотрел базы яндекса, мейла и гугла.
Очевидно, что аккаунты собирались из разных источников и в разное время. Много признаков:
1) Наличие несуществующих логинов. Маловероятно при сливе базы с самого почтового сервиса.
2) Логины, написанные буквами разного регистра. Признаки кейлоггеров и фишинга.
3) Одинаковые пары логин: пароль проверялись на разных сайтах. На это указывает указывает брут яндекса по дате рождения. Такой тип массового взлома характерен для мейлру, благодаря их сервису МойМир, в котором адрес страницы (с указанной датой рождения) соответствует логину в системе — my.mail.ru/DOMAIN/LOGIN
Аккаунты вида НОМЕРТЕЛЕФОНА(а)yandex.ru: ПАРОЛЬ скорее всего были аккаунтами ВКонтакте, собранными с фейка.
4) Процент авторега и брутфорса в базах яндекса и мылру выше, чем у гугла. Связано с техническими особенностями данных сервисов.
Как они попали в паблик? Все просто. У %username1% были базы, но не был денег. У %username2% был должник. Принять базы в счет долга %username2% согласился, но использовать их в корыстных целях не захотел и поделился со всеми.
Насчет объемов утечки согласен с этим комментом. На черном рынке за относительно небольшую сумму денег можно базу значительно больше.
Особой опасности для пользователей такие базы не представляют, используясь в основном для массовых рассылок. Но при утечке в паблик вероятность целевых атак на конкретных людей и их личные данные очень велика.