Raport jest wstępem do wystąpienia współtwórcy Dasienta, Neila Daswaniego, na zbliżającej się konferencji Black Hat w Las Vegas. Przedstawi on tam szczegóły problemu oraz metody zapobiegania zagrożeniom.

Koncepcja strony internetowej jako mashupu – sklejania widżetów hostowanych na wielu różnych serwisach – nie jest nowa. Dopiero jednak upowszechnienie się serwisów z treściami generowanymi przez użytkowników sprawiło, że wydawcy witryn zaczęli ścigać się w umieszczaniu na swoich stronach boksów, wyświetlających treści, nad którymi nie mieli faktycznie żadnej kontroli.

Stopień zaangażowania w takie praktyki zależał przede wszystkim od tematyki serwisu. Według Dasienta, 94% dostawców zaawansowanych technologii i 89% instytucji finansowych wykorzystywało na swoich stronach hostowane na zewnątrz skrypty.

Zewnętrzny kod przyjmuje wiele postaci – od skryptów serwerów reklamowych po boksy serwisów społecznościowych. Na wiele też sposobów osadzane są w witrynach – czy to jako link do skryptu z zewnętrznego zasobu, czy pływająca ramka iframe. Szczególnie ten ostatni sposób staj się coraz popularniejszy, mimo że potencjalnie stanowi największe zagrożenie.

Co prawda dostawcy przeglądarek próbują ograniczać to niebezpieczeństwo, wykorzystując politykę tego samego źródła (same origin), nie pozwalającą zewnętrznym skryptom na manipulowanie elementami strony HTML, ale i tak zdaniem Daswaniego możliwych jest wiele scenariuszy ataków. Jeśli na przykład pływająca ramka miałaby pobrać złośliwy PDF, który wywoływałby wtyczkę PDF i wymuszał błąd przepełnienia bufora, wciąż napastnik mógłby w ten sposób przejąć kontrolę nad komputerem ofiary, bez względu na zabezpieczenia przeglądarek.

Równie groźne są przecieki prywatnych informacji, możliwe dzięki atakom XSS. Wykorzystywane w takich atakach skrypty mogą być serwowane np. przez osadzone widżety serwisów społecznościowych.

Zdaniem Neila Daswaniego, nie istnieje jedno panaceum na tego typu zagrożenia. Z perspektywy biznesowej niemożliwe jest też porzucenie mashupów. Pozostaje ograniczanie ryzyka poprzez przemyślaną strategię ochrony witryny, wykorzystującą wiele różnych wzajemnie uzupełniających się usług. Jedną z nich ma być oczywiście online'owy skaner malware, który Dasient uruchomił w zeszłym roku.

Źródło: dasient.com, devx.com