Почему веб-серфинг может стать опасным
Даже самые защищенные интернет-пользователи, у которых стоит последняя версия антивируса и брандмауэра, не могут себя чувствовать в безопасности.
Вирусы - только одна из проблем, с которой можно столкнуться в результате обычного веб-серфинга.
Издание PC Advisor сформулировало 7 причин, по которым повседневный веб-серфинг может стать опасным для пользователя.
1. Зараженная реклама
Реклама - это обязательный элемент современных веб-ресурсов. Однако именно она может оказаться зараженной вирусами и вредоносным ПО. Часто о том, что рекламные блоки сайта заражены вирусами, не знают даже владельцы веб-проекта. Последний пример такой вирусной атаки - заражение сайта The New York Times.
2. Атаки вида «SQL-инъекции» или внедрение SQL-кода
Атаки этого типа стали особенно популярны в последнее время. Такие атаки используют ошибки в коде веб-приложений. Например, благодаря SQL-инъекции хакер может получить адреса электронной почты, которые пользователи вводят для регистрации на сайте.
3. Пользовательские сведения
Приватность пользователей в Интернете давно стала атавизмом. Даже якобы анонимные комментарии в Facebook или Twitter не спасут их автора от разоблачения.
4. Данные на взломанных сайтах
При размещении данных на сайтах пользователь не может быть уверен, что они не попадут в руки злоумышленников. Результатами взлома сайта могут стать не только логины и пароли доступа к веб-ресурсу, но и, например, номера кредитных карт пользователей сервиса.
5. Массовая атака на сайты
Современные хакеры могут организовать массовые атаки на сайты одного хостинг-провайдера и в результате получить доступ к огромному количеству пользовательских данных.
6. Превращение компьютера в часть ботнета
Компьютер пользователя может стать частью ботнета и принимать участие в заражении других веб-сайтов. Таким образом пользователь без своего ведома может способствовать распространению вируса и получению доступа к конфиденциальной информации.
7. Поддельные приложения
В последнее время особенно распространенными стали поддельные приложения, предлагающие пользователям, например, купить ненастоящий антивирус. На экране компьютера появляется окно с уведомлением о том, что просматриваемый сайт заражен, и излечить его можно только с помощью специального очень дорогого антивируса.
Комментарии
2,3,4 - на 99% сайтов пароли хранятся в зашифрованном виде, с ними нельзя "залогиниться", номера кредитных карт не хранятся на 99% сайтов, но лучше да, не использовать нигде личных данных (спамовый имайл и никаких кредиток)
Насколько я слышал аськи воруют через систему восстановления пароля и почтовый адрес.
> на 99% сайтов пароли хранятся в зашифрованном виде, с ними нельзя "залогиниться"
Вот тут многое зависит от многого. Во-первых, взлом хэша брутфорсом никто не отменял. Во-вторых, ленивые "погроммисты" могут такую систему аутентификации нарисовать (вернее, скопипастить), что честно утащенный хэш достаточно в правильное место запроса воткнуть или в куку. В-третьих, в некоторых особо запущенных случаях достаточно поснифать URL и запросить его из-за того же шлюза (это еще в лучшем случае). Ну, и т.д. и т.п.
Брутофорс бессилен в 99% случаев: берется md5 соли, генеренной рандомно, плюс md5 пароля, генеренного тоже рандомно (хотя можно и юзерский), и потом еше раз md5 на оба.
Ни один уважаюший себя сервер не должен слушать хэши с реквестов, он должен делать их сам - тогда подсовывать бесполезно. Передача через урл - да, это \"модно\" у \"особо продвинутых\" любителей сессий (у некоторых сессии вообше отключены, сервер быстрее работает когда ему не надо искать файл сессии на диске среди 200 тысяч других файлов сессий в одной папке, да и для безопасности все равно сессии уместны только с куки, так что куки без сессий еше лучше ;))
И, если база уже взломана, зачем логиниться и подбирать пароль юзера через вэб?.. ;)))
Линукс, наверное, может помочь?
Хотя всякой ерунды вредоносной реально навалом в нете.
Один друг, который в нете постоянно, однако однажды сказал:
"Я не понимаю, как люди находят вирусы? Я все годы работаю без антивируса - и никаких проблем никогда. Ведь чтобы вирус попал на комп, нужно найти какой-то специальный сайт, нажать на нём кнопку "вирус" и тогда - да, вирус у вас появится. А если в нете работать с головой и не лезть куда попало, то всё будет ОК"
:-)
Но вы думаете, что обычные пользователи для "этих специальных" представляют интерес? Или это только случайно может произойти?
У меня лицензионная Винда ХР, но после энного обновления перестал работать сканер Mustek a3 usb, и мне пришлось отказаться от обновлений Винды!
Потом, я свято верил в корбиновский бесплатный, регулярно обновляемый Web32, пока не попробовал Norton Internet Security. Выяснилось, что чуть ли не каждые полчаса меня кто-то атакует, и Web32 этого не замечал. Так что даже антивирус не решает проблем. Зло не внутри, оно снаружи!
2) использовать хорошо настроенную баннерорезку
3) в заведомо небезопасные места лазать только с отключенными скриптами
4) все входящие файлы проверять свежей версией антивируса (а есть маститые антивирусы, которые дают бесплатные проверяющие утилиты, тот же CureIt от DrWeb)
5) раз в N времени (у меня раз в месяц) запускать проверку компа той же самой бесплатной утилитой.
6) включать головной мозг каждый раз, когда что-то предлагают скачать, запустить и установить