| |
Компания RiskIQ, cпециализирующаяся на разработке связанных с обеспечением безопасности программных продуктов, выявила активность по распространению вредоносного ПО на страницах jquery.com, через подстановку JavaScript-вставки c организацией перенаправления обращений на подконтрольный атакующим домен jquery-cdn.com, зарегистрированный несколько дней назад.
С учётом того, что jQuery используемой на более чем половине из 10 тысяч наиболее посещаемых сайтов в сети, поддержание безопасности серверной инфраструктуры проекта является критически важной задачей. Разработчики провели начальный аудит безопасности серверов и анализ логов и не нашли каких-либо следов деятельности злоумышленников.
Судя по всему атака атака носила единичный характер, так как в случае массовой атаки следовало ждать потока жалоб от пользователей, которые начинают поступать спустя считанные минуты после возникновения каких-либо проблем. Кроме RiskIQ никто не смог подтвердить наличие атаки, но авторитет RiskIQ также не даёт усомниться в реальности атаки. Кроме того продолжает существовать домен jquery-cdn.com и работающий на нём проброс на вредоносное ПО. В настоящее время совместно с RiskIQ проводится боле детальное сопоставление логов.
Утверждается, что атака не затронула работу сервиса по загрузке на сайты JavaScript-библиотеки jQuery. Наиболее вероятным является компрометация сервера, обслуживающего сайт jquery.com. Пользователям, посещавшим сайт jquery.com 18 сентября, рекомендовано сменить пароль, проверить целостность своих систем и обратить особое внимание на любую подозрительную активность. Распространяемый в рамках атаки набор эксплоитов RIG направлен на поражение необновлённых Windows-систем и содержит код для эксплуатации уязвимостей в Java, Adobe Flash, Internet Explorer и Silverlight.
|
|
- Главная ссылка к новости (http://blog.jquery.com/2014/09/23/was-jq...)
- OpenNews: Выпуск свободной JavaScript-библиотеки jQuery 2.0
- OpenNews: Введён в строй единый реестр плагинов к jQuery
| Тип: Проблемы безопасности | Ключевые слова: jquery, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
|
3.3, annualslayer, 11:32, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
> Тогда можно было ждать эксклюзивного набора эксплоитов, а не применение типового RIG
> для протухших уязвимостей.
да это была просто слишком смешная шутка про http на скриншотах
| | |
|
2.5, d1mmmk, 12:06, 24/09/2014 [^] [ответить] [смотреть все] [показать ветку] [к модератору] –1 +/–
Только VanilaJS, только хардкор? Не всегда оправдано. Использование cdn снимает нагрузку с серверов, ускоряет загрузку у пользователя, да и использование сторонних библиотек в разы облегчает и ускоряет разработку.
4.12, angra, 13:04, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] +/–
Кеширование как раз говорит в пользу cdn для jquery, так как пользователю достаточно посетить хоть один сайт с jquery той же версии.
50Kb * 1000 запросов в секунду означает 50Mb трафика в секунду или 4.3Tb в сутки. Как говорится, копейка рубль бережет.
Также играет роль не только объем, но и сам факт запроса, есть пределы на количество одновременных запросов в паре домен<->клиент как со стороны вебсервера, так и со стороны браузера. Не даром в серьезных сайтах контент грузится сразу с нескольких субдоменов.
|
6.27, Вячеслав, 15:03, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
Автор коммента имел в виду, что сумарное кол-во обращений с разных сайтов, у меня например один сайт генерирует около 1 тыс. обращений к jquery, думаю сайтов, которые генерируют больше 1 тысячи обращений в сутки очень много.
| | | 6.30, angra, 16:20, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] +/–
Инфраструктура гугла или любого другого поисковика стоит во много раз больше. Они это делают не на халяву! Они получают с этого маржу! Не сберегают вам рубль! Перестаньте пользоваться поисковиками. Кстати, opennet ведь тоже не на халяву, стоит денег, получает маржу и прочая! Срочно перестаньте им пользоваться.
3.10, Аноним, 12:56, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] +/– или вылет плашки роскомсовкома извините, ресурс заблокирован Потому что CD... весь текст скрыт [ показать] |
6.21, angra, 14:09, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
При желании можно сделать и так. Ставишь на локалхост вебсервер, скидываешь ему все версии jquery с http://code.jquery.com/jquery/. Прописываешь соответствие в /etc/hosts
127.0.0.1 code.jquery.com
Вуаля, у тебя для всех правильных сайтов jquery будет отгружаться с локалхоста.
Ну а с добавлением небольшой магии, зависящей от вебсервера, можно обойтись всего двумя версиями jquery.
| | | 5.25, Аноним, 14:25, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] +/–Я в курсе что такое CDN Что еще забавнее, у утырков из роскомсовкома хватило ум... весь текст скрыт [ показать] |
6.28, Вячеслав, 15:06, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] | –1 +/– |
>> Ты бы хоть почитал, что такое CDN, прежде чем так жестоко пороть чушь.
> Я в курсе что такое CDN. Что еще забавнее, у утырков из
> роскомсовкома хватило ума заблокировать половину IP обслуживающих Россию с аргументом
> что сервак отдавал сайт с неправильным контентом. Вот такая вот суровая
> реальность нынче.
Чем вам так роскомнадзор так насолил?)
| | |
|
8.36, Moomintroll, 17:00, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] | +1 +/– |
> блокирующие в результате сервера CDN целиком по айпишникам
Вообще-то, в базе роскомнадзора есть конкретные URL конкретных ресурсов/страниц. А целиком блокируют по IP ленивые провайдеры.
| | | 9.39, Аноним, 17:30, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] +/–Да вообще-то и айпишники бывают Головотяпы - они такие Не только Хотя я могу ... весь текст скрыт [ показать] 3.41, Аноним, 17:52, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] +/–ТОЛЬКО ПЕРЛ, ТОЛЬКО ХАРДКОР ... весь текст скрыт [ показать]
1.8, Аноним, 12:41, 24/09/2014 [ответить] [смотреть все] [к модератору] +1 +/–RequestPolicy noscript и нет проблем ... весь текст скрыт [ показать]
3.22, Аноним, 14:11, 24/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–дополню, на гитхабе видел скрипт, который делает локальное хранилище apis google... весь текст скрыт [ показать] 3.31, user, 16:20, 24/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
В большинстве случаев вебмастер индус или заказчик чудак. Я видел только 2 типа нужных js:
1. картография
2. на яндекс-маркете показывают доступные варианты с учётом уже выбраных параметров
2.17, angra, 13:56, 24/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +1 +/–
Зачем же эти полумеры, лучше вообще не запускать браузер. А то были в истории случаи уязвимости IE через картинки. Так что серфинг исключительно через wget/curl/netcat.
2.20, Зевака, 14:03, 24/09/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–
Да, хороший аддон, но нет такого под хром. :(
Вообще, было бы неплохо сделать какой-нибудь /policy.txt, который владелец сайта заливает туда и подписывает у каких-нибудь гуглов и прочих верисайнов.
Посетитель скачивает этот файл и по нему судит о том, какие скрипты не были рекомендованы к загрузке владельцем сайта.
Например, владелец подписался на баннерную кампанию от конторы А. Те дают ему 99$ за 100500 показов, а потом кто-то портит контент в баннере и посетитель грузит эксплойты с левых ресурсов.
Наличие общего промышленного стандарта на политику загрузки ресурсов, позволило бы улучшить общую безопасность интернета для хомячков.
|
3.23, angra, 14:17, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
>а потом кто-то портит контент в баннере и посетитель грузит эксплойты с левых ресурсов.
Это как?
Если кто-то имеет возможность взломать банерную сеть, то он может отгрузить любой контент и твой policy.txt ничем не поможет, ведь в нем прописано доверие к сети
Если кто-то имеет возможность изменить содержимое странички на твоем сайте, то он может поменять и policy.txt
Попробуй придумать что-то более умное.
| | |
|
4.37, Гость, 17:13, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
Имеется в виду, что баннерная сеть по партнерской программе отгружает ссылки на чужой графический контент.
Таких безобразий - пол-интернета.
А в policy.txt будут прописаны права лишь на утвержденные серверы.
| | |
1.16, Аноним, 13:52, 24/09/2014 [ответить] [смотреть все] [к модератору] –1 +/–Рад, что начались такие проблемы у ленивых веб-мастеров Ненавижу jQ и ей подобн... весь текст скрыт [ показать]
|
2.19, angra, 14:02, 24/09/2014 [^] [ответить] [смотреть все] [показать ветку] [к модератору] | +2 +/– |
Дурачок, ты бы хоть прочитал, что такое jquery. Если вдруг ты работаешь или планируешь работать в сфере веб, то как раз тебе настойчиво рекомендую сменить или выбрать другую профессию, дабы не плодил говносайтов, работающих только в твоем любимом браузере.
| | |
|
4.29, angra, 16:13, 24/09/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
Между "открываются" и "одинаково работают" большая разница, не говоря уже о богатсве функционала, а то "hello world" тоже везде открывается. Ну и совместимость на жалкие три года это просто смешно на фоне 13 лет от jquery.
| | | 4.32, zoonman, 16:31, 24/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
Просто вы не создавали веб-приложений, в которых jQuery занимает 1-2% от всего другого кода. И да, эксперименты, это то, за что многие люди ценят сайты.
Это примерно как сравнить обычную выбиралку файла (input type=file) и drag&drop документа в окошко браузера с его превьюшкой и индикатором загрузки.
4.35, Аноним, 16:39, 24/09/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +3 +/–Обмен экспертными мнениями у веб-разработчиков - это как-то так ... весь текст скрыт [ показать]
1.43, lexx015, 18:01, 24/09/2014 [ответить] [смотреть все] [к модератору] +/–
Заходишь на сайт, разрешаешь временно в noscript домен этот сайта, а все равно бОльшая часть контента не пашет
комментариев нет, менюшки не работают, все правильно делают
Ваш комментарий
Read more |