Аналоги офлайнового Gmail привлекают хакеров

Офлайновые веб-приложения дают возможность работать с данными из Сети на своем собственном компьютере без подключения к интернету, получая таким образом доступ к таким услугам, как электронная почта, работающая на веб-интерфейсе. Однако в случае использования подобной технологии сайтами с низким уровнем защиты, их пользователи подвергаются серьезной опасности со стороны киберпреступников. Об этом заявил Майкл Саттон, специалист по компьютерной безопасности, выступая на конференции Black Hat, проходящей в Вашингтоне.

По его словам новые сами по себе используемые технологии могут быть прекрасно защищены от действие всевозможных хакеров, однако если они используются на незащищенном сайте, это не имеет никакого значения, поскольку все меры безопасности, используемые в приложении, сводятся на нет.

Офлайновые веб-приложения начали набирать популярность после появления таких служб, как Gears от Google и новой спецификации HTML 5, находящейся еще в стадии разработки.

Напомним, что в конце января этого года компания Google объявила о расширении функциональности своей почтовой службы Gmail, добавив возможность офлайнового доступа к интерфейсу сервиса. Для работы с почтой Gmail в офлайновом режиме теперь достаточно отметить соответствующую опцию в настройках почтового ящика. После этого на компьютер пользователя будет частично загружен архив электронных писем, и владелец почтового ящика сможет читать корреспонденцию и создавать новые сообщения, не имея доступа в Сеть. После подключения к Интернету все сделанные изменения будут синхронизированы, а новые письма - отправлены адресатам.

Как отмечает "Компьюлента", работать с тем же Gmail в офлайновом режиме можно было и раньше при помощи системы Google Gears или обычных почтовых клиентов. Однако это было сопряжено с некоторыми сложностями. Теперь людям не использующим почтовые клиенты новые возможности почты от поискового гиганта, существенно упрощает доступ к интерфейсу Gmail при отсутствии соединения с интернетом.

Саттон особо подчеркивает, что Gmail, Gears и HTML 5 считаются хорошо защищенными службами, и проблема относится лишь к сайтам, где вопросам безопасности уделяется гораздо меньше внимания. Проблема именно в том, что часть базы данных сервера хранится на компьютере пользователя, а особой опасности подвергаются сайты, уязвимые к SQL-инъекциям и межсайтовому скриптингу.

Наиболее вероятный сценарий, которым будут пользоваться киберпреступники, по мнению Саттона, заключается в рассылке своеобразных фишинговых писем, которые будут завлекать пользователей не на фальшивые сайты, а на вполне легитимные, но уязвимые веб-ресурсы. После этого с помощью браузера пользователя злоумышленники смогут добраться до данных из офлайновой базы.

"Gears является фантастической разработкой, и компания Google проделала огромную работу для того, чтобы сделать ее по-настоящему безопасной, - говорит Саттон. - Однако, применяя ее на уязвимом для хакерских атак сайте, вы подвергаете своих клиентов опасности".

В этом его поддерживает другой эксперт Крэйг Бладинг. По его словам, стремление компаний использовать на своих сайтах новейшие технологии вполне понятно. Однако, когда разработчики обращают внимание на технологии, подобные Gears, им следует тщательно взвесит все "за" и "против". Главной проблемой является то, что пользователь остается совершенно беззащитным, поскольку уязвимость кроется в самом сайте и никакие антивирусы тут не помогут.