Чому інтерфейс сучасних браузерів шкодить безпеці, або Як мінімалізм став поганим

Data Security Digital Internet Phishing

Безпека сьогодні стала головним гаслом, і заради неї готові на все. Навіть сповільнити цілий інтернет, аби дати відчуття більшої захищеності. Однак мало хто при цьому замислюється, чи дійсно в інтернеті стає безпечніше. Наприклад, перехід з http на https не захищає користувача чи сервер, що віддає йому дані від злому. А інженер-розробник Google Chrome Ерік Лоуренс також каже, що безпеку погіршують й інтерфейси сучасних браузерів, хоча на папері вони, знову ж таки, усіма силами її підвищують.

За словами експерта, сьогодні розробники браузерів знаходяться на такій собі «лінії смерті», з одного боку якої довірений контент, з іншого – царина фішерів та кіберзловмисників. При цьому ця лінія з кожним роком розмивається дедалі більше. Кордон між цими двома безпечною та шкідливою територіями проходить по адресному рядку браузерів і відкритими веб-сторінками.

«Якщо користувач довіряє пікселям над «лінією смерті», йому здається що він у безпеці, – каже Лоуренс. – Проте якщо його переконають довіряти пікселям під цією лінією, вони «загинуть».

Браузери намагаються протистояти зловмисникам за допомогою невеликих іконок поряд з адресою сайту. Клацнувши на неї, можна отримати більше інформації про використання HTTPS, запити місцеположення тощо. Але ці самі іконки відкривають шлях атаки для зловмисників, які навчалися їх підробляти, а кнопки блокування перетворюють на посилання для завантаження шкідливого ПЗ.

У 2005 році у Firefox виявили «діру» у фавіконах – крихітних логотипах сайтів, які відображаються на вкладках. Вона дозволяла виконувати віддалений код.

Менше інтерфейсу на руку зловмисникам

Наступний етап розмиття кордонів «лінії смерті» стався у 2012 році, коли Microsoft перевела інтерфейс Internet Explorer у Windows 8 на мінімалістичний стиль. Лоуренс тоді працював у команді розробників цього браузера і протестував проти такого рішення. На його думку, воно робило «лінію смерті» схожою на контент.

«Internet Explorer розробляли з філософією «контент понад технологічні інструменти». Через це не стало надійних довірених пікселів, – каже фахівець. – Я благав, щоб постійна іконка про походження та безпеку була в правому нижньому кутку. Але моє прохання відхилили».

Лоуренс згадує, як один із працівників Microsoft створив візуально ідеальний сайт Paypal, який був фішинговим, дурив веб-браузер та надавав фальшиві індикатори. Це особливо яскраво проявлялося в повноекранному режимі браузера. Лоуренс згадує, що це жахало, і єдиною надією було те, що повноекранним режимом ніхто не користується.

Мінімалістичні інтерфейси сучасних браузерів розв’язали зловмисникам руки, які створюють браузер у браузері. Вони імітують вигляд відомих веб-навігаторів, які при цьому видають небезпечні сайти безпечними. Упізнати таку копію з першого погляду буває важко навіть досвідченому експерту, говорить Лоуренс.

У 2007 році команда з безпеки Microsoft також займалася цією проблемою браузера в браузері. Експерти опублікували чотири статті, в яких говорилося, що подібна версія сайту дуже переконлива, бо копіює дрібні деталі інтерфейсу, з кирилицею включно.

З появою HTML 5 справи погіршилися, адже веб-сайти, а отже, і зловмисники, отримали можливість примусово переводити браузер у повноекранний режим. Так вони можуть ретельніше приховати інтерфейс браузера користувача, залишивши лише шкідливу веб-сторінку.

Мінімалізм не дає дізнатися більше

Головна концепція мобільного дизайну сьогодні – мінімалізм. Але, прибравши різноманітні кнопки та вікна, розробники позбавили користувачів засобів, щоб побачити потенційну загрозу. «Ми спостерігаємо набагато більше кліків за фішинговими посиланнями на мобільних девайсах через те, що на них значно важче отримати потрібну інформацію, – каже Шон Річмонд, старший технологічний консультант компанії Sophos. – Розширити поле URL значно складніше, і тому користувачам важче отримати інформацію для прийняття рішення».

Поштові клієнти також страждають від такого. Наприклад, плиткова версія Outlook розміщує повідомлення про довіреність сайту у сфері, яку можуть контролювати зловмисники, – це сфера контенту. Фішери легко можуть підробити його.

За матеріалами: The Register

1 коментар

НАПИСАТИ ВІДПОВІДЬ

Please enter your comment!
Будь ласка введіть ваше ім'я