Views Comments Previous Next Search

HTML5 открывает новые возможности для вредоносных программ

0312
НаписалEvgenia Melnikova3 июля 2012
0312

HTML5 открывает новые возможности для вредоносных программ


«Если бы авторы вредоносных программ изучили орфографию и писали без ошибок — нам всем пришёл бы конец», — шутит Скотт Хансельман, рассказывая о том, как он чуть не установил зловреда во время сёрфинга по интернету. В какой-то момент на экране выскочило сообщение якобы от антивируса Microsoft Security Essentials.



Опытный веб-разработчик Скотт говорит, что сердце готово было выпрыгнуть у него из груди, настолько сильно он испугался, что компьютер кишит вирусами. Но в следующую секунду он обратил внимание, что сообщение выглядит как-то подозрительно. Оно выскочило на экран в момент перехода на новую веб-страницу, что само по себе подозрительно. Сообщение строго отцентрировано в браузере, что тоже как-то странно. И главное — текст в сообщении написан с грамматической ошибкой (migth вместо might). Когда программист заметил это, то сразу понял, что никакая нормальная программа не могла выдать такое сообщение, а это поделка неизвестного и малограмотного вирусописателя.



«Когда для веб-приложений станет обычным делом использование HTML5 с локальным хранилищем на компьютере пользователя, геолокацией и, возможно, исполнением нативного кода, а также другими функциями, то плохие парни начнут делать то же самое со своими вредоносными программами, — пишет Хансельман. — Если ты можешь написать Doom на HTML5, то ничто (кроме желания и способностей) не помешает тебе написать adware/scareware/malware на JavaScript. Это будет не стандартная атака CSRF/XSS, которая сама по себе опасна — я знаю, работал в банковской отрасли — но программа, которая со всей сложностью дублирует доверенное программное обеспечение, полностью воссоздавая его интерфейс с помощью HTML5/CSS3 и современного JS».

Скотт Хансельман предлагает задуматься о внедрении цифровых подписей для HTML5-приложений или сертификатов Extended Validation SSL, или каких-то других способов защититься от этой угрозы.

Рассказать друзьям
0 комментариевпожаловаться

Комментарии

Подписаться
Комментарии загружаются