ЗЛОУМЫШЛЕННИКАМ ПРИШЕЛ КОНЕЦ
Специалисты по компьютерной безопасности создали систему, призванную защитить приватность пользователей и одновременно быть полезной для веб-разработчиков, которые смогут писать веб-приложения, собирающие данные с нескольких сайтов одновременно. Система, получившая название COWL (аббревиатура от Confinement with Origin Web Labels), совместима с браузерами Mozilla Firefox и Google Chrome и может предотвращать кражу информации при помощи зловредного кода, спрятанного на загружаемых веб-страницах.
Браузер без страха и упрека
Команда, разработавшая COWL, включает специалистов из Google, Технического университета Чалмерса, Mozilla Research, Университетского колледжа Лондона и Инженерной школы Стэнфордского университета. Ученые ожидают, что COWL будет активно использоваться веб-разработчиками.
Тестирование системы в Chrome и Firefox продемонстрировало, что COWL защищает информацию пользователя от зловредных программ, не замедляя время загрузки страниц из интернета. С 15 октября систему можно будет скачать и использовать бесплатно.
Сейчас приватности пользователей интернета может угрожать вредоносный код Javascript, который может быть спрятан на самых безобидно выглядящих сайтах. Создатели сайта могли вставить в него уже готовый код, не зная, что в нем содержатся вирусы. С помощью такого кода злоумышленники могут получить доступ к конфиденциальной информации как в той же, так и в других вкладках браузера.
При разработке современного веб-сайта разработчики часто включают в него уже готовый код Javascript, написанный третьими лицами или непонятного происхождения. Как сообщается в исследовании, 59% из миллиона самых популярных сайтов и 77% из 10 тыс. самых популярных сайтов включают код Javascript, написанный третьими лицами. Ученые отмечают, что подобное использование Javascript опасно, ведь несмотря на то, что такой код может делать то, что требуется разработчикам, он может попутно выполнять и некоторые нежелательные действия.
Технология COWL призвана улучшить ситуацию с приватностью данных, пересылаемых между различными веб-приложениями или частями одного приложения, которая в настоящее время частично регулируется Same Origin Policy (SOP) и Cross-Origin Resource Sharing (CORS), говорит антивирусный эксперт Лаборатории Касперского Владимир Кусков. COWL подразумевает принудительное управление доступом (MAC) на основе назначения меток, привилегий и специального механизма коммуникации, позволяя веб-приложениям получать конфиденциальные данные, но не позволяя при этом отправлять их за пределы браузера, поясняет он.
Однако, несмотря на все достоинства разработанной учеными системы, она не сможет решить многих проблем кибербезопасности.
«Это действительно поможет улучшить ситуацию, однако не спасет от вредоносного ПО, уже находящегося на машине пользователя и имеющего возможность внедриться в процесс браузера, — предупреждает Кусков. — Также авторы COWL признают, что остается возможность утечки данных через скрытые каналы». Кроме того, сами исследователи отмечают, что применение этой технологии подстегнет авторов вредоносного ПО обращать больше внимания на поиск и использование таких скрытых каналов, рассуждает эксперт.
Дмитрий Бевза
|