Сістэма аўтарызацыі Яндэкса схільная MITM (Man-In-The-Middle)-нападу: можна прымусіць Яндэкс перадаваць лагіны і паролі ў адчыненым выглядзе, што вабіць за сабой пагрозу іх перахопу. Для тых, хто не ў курсе, што такое MITM (вынятка з Вікіпедыі):
Напад «чалавек пасярэдзіне» (ангел. Man in the middle, MitM-напад) — тэрмін у крыптаграфіі, які пазначае сітуацыю, калі атакавалы здольны чытаць і відазмяняць па сваёй волі паведамлення, якімі абменьваюцца карэспандэнты, прычым ні адзін з апошніх не можа здагадацца аб яго прысутнасці ў канале.
У дачыненні да сетак, магчымасць перахапляць і ў асобных выпадках змяняць перадаваны трафік. Гэта пагражае расчыненнем лагінаў і пароляў да сайтаў. Для абароны ад гэтага ўжываецца SSL.
MITM на Яндэксе
Пры ўваходзе на Яндэкс лагін і пароль сапраўды перадаюцца па SSL-пратаколу. Але зірнем на частку зыходнага кода старонкі аўтарызацыі з апісанне формы:
Першапачаткова ў форме паказана, што дадзеныя павінны перадавацца па нешифровнному каналу:
action="http://passport.yandex.ru/passport?mode=auth"
Перадаваць дадзеныя па SSL прымушае скрыпт forcehttps.js, які ў усіх формаў змяняе ва ўласцівасці action «http» на «https»:
// Force HTTPS javascript
//
// $Id: forcehttps.js,v 1.3 2006-12-12 14:05:01 shurukhin Exp $
(function(){
var frm = document.forms.MainLogin;
if(frm) {
frm.action=frm.action.replace(/^http:/i, 'https:')
frm.action=frm.action.replace(/^//,'https://'+document.domain+'/')
}
})();
Калі жа гэты скрыпт не выканаецца, то лагін і пароль будуць перасылацца ў адчыненым выглядзе.
Выснова
Калі ў атакавалага ёсць магчымасць падмяніць або заблакаваць запампоўку forcehttps.js, то лагін і пароль перададуцца на сервер у адчыненую. Напрыклад, адмін у офісе проста заблакаваў запампоўку forcehttps.js на проксі-серверы (офіс ходзіць у інэт праз яго), то ён лёгка можа перахапіць лагін і пароль ад акаўнта на яндэксе, прыналежныя супрацоўнікам офіса.
рэкамендуем прачытаць таксама
- Twitter уключае падтрымку абароненага пратаколу перадачы дадзеных https
- Google прыступіла да тэставання абароненай версіі Gmail
- У сэрвісе пошукавых падказак Яндэкса выяўленыя множныя ўразлівасці
- RTM-версію Windows 7 можна будзе запампаваць ужо ў жніўні
- NASA пераходзіць на Open Source-сістэму маніторынгу праблем