Просят тут прокомментировать новый тип атаки "Man-in-the-Browser". Суть его в том, что троянская программа имеет форму плагина к браузеру. А плагин (он же адд-он) как раз для того и придуман, чтоб перехватывать html-код, вырезать из него ненужное и вставлять нужное прозрачно для пользователя. Вот троянистый плагин перехватывает и вставляет. Прозрачно. Ненавязчиво. Только не на благо, а во вред.
Это – грабли, господа. Почти с каждой технологией из ИТ случалась аналогичная история. Протокол SMTP придумали с прицелом на надёжность доставки, а о непрошенных сообщениях (спаме) не подумали. Потом уже поздно было всё менять. Доступ к оперативной памяти для программ не снабдили механизмом авторизации ради скорости и универсальности. И на этом живёт чуть не половина всех уязвимостей. Виртуализация компьютерных ресурсов упрощает и удешевляет управление ими. Но под покровом виртуальности плодятся новые НДВ.
Вот и браузерные плагины теперь обернули свои особенности против пользователя. Их придумали ради комфорта и ради расширения круга разработчиков. О безопасности при этом, выходит, опять не думали?
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Присоединяйся к сообществу ИБ-специалистов
Обменивайся опытом, решай реальные задачи и прокачивай навыки вместе с экспертами на Standoff Defend*.
