javascript

Сценарии JavaScript весьма удобны для управления диалогом самого браузера, а также для включения в этот диалог интерактивных элементов. Вы можете использовать JavaScript для проверки корректности формы, чтобы, скажем, заставить пользователей заполнять все поля формы перед щелчком на кнопке подтверждения ввода. Вы можете также использовать JavaScript для отображения собственных сообщений в строке со- стояния браузера, расположенной в нижнем левом углу диалога браузера.

К несчастью, эти удобные возможности JavaScript используются также и крекерами, занимающимися фальсификацией сайтов Web для исполнения так называемых атак из зеркального мира, С помощью такого рода атаки крекеры могут обманом завлечь поль- зователей на свой, крекерский, сайт, в то время, как пользователи будут думать, что они находятся на вашем сайте. И пока посетитель будет пребывать в неведении, крекеры получат от него входное имя, пароль, номер кредитной карточки и все остальное прочее, что им показалось нужным извлечь у попавшегося им в лапы незадачливого посетителя.

Что вы можете сделать для противостояния такой атаке? Немногое. Пользователи могут выключить средства работы со сценариями JavaScript в своих браузерах, блокировав попытки фальсификации сайта. Но если ваш сайт использует сценарии JavaScript, это может вынудить посетителей включить поддержку JavaScript. Большинство пользовате- лей браузеров так и делают, устанавливая низкий уровень безопасности.

Вы можете отслеживать в Web ссылки, ведущие якобы на ваш сайт, но на самом деле - на фальсифицированный сайт. Также поддерживайте связь со своими заказчиками. Помните, что активные атаки такого рода могут выполняться с использованием элек- тронной почты, в сообщениях которой используется код HTML со ссылками на фальси- фицированный сайт в зеркальном мире крекеров. Вы должны быть в курсе, если к ва- шим заказчикам начнут поступать подозрительные электронные письма подобного рода,

Чтобы гарантировать, что только ваши собственные электронные письма могут быть отосланы по адресам группы заказчиков, включите своих служащих в списки рассылки писем для своих заказчиков.

Исходя из подобных соображений, защитите свои списки рассылок таким же образом, как и номера кредитных карточек. Зашифруйте их, если это необходимо, и ни в коем случае не делайте его всеобщим достоянием. Это очень плохая практика обслуживания заказчиков - передача списка электронных адресов своих клиентов всем, кто готов за- платить за него (а желающих заплатить за полноценный список адресов электронной почты хоть пруд пруди). Вы подвергнете своих заказчиков нешуточной опасности, если ваш список адресов заказчиков попадет в лапы компании темных личностей, которые начнут искать подходы к вашим клиентам, выдавая свою компанию за вашу.

Продолжение темы:

Полезная информация