itekst.pl
Technologie to nasza pasja, ale bardziej wolimy dobry obiad
WYBIERZ KATEGORIĘ:
  Start
12 listopada 2017 r.  /  Internet
Połowa polskich stron została zainfekowana przy pomocy skryptu społecznościowego

Właściciele polskich stron lubią promować się na Facebooku i Twitterze. Tak bardzo, że zainstalowali na swoich stronach gotowy skrypt JS, który wyświetlał ikonki do tych serwisów. Po kilku latach okazało się, że ów skrypt wstrzykiwał użytkownikom złośliwe oprogramowanie, a wcześniej być może wykradał dane. Efekt? Dziś połowa polskich stron wywołuje reakcję programów antywirusowych.

Dobrze pamiętam początek szału na Facebooka i inne Twittery. Wielu osobom i firmom nie wystarczyło założenie fanpejdża i zasypywanie niby-klientów niby-marketingiem. Postanowili zaktywizować użytkowników swoich witryn. Najprostszym rozwiązaniem było dołączenie do strony gotowego skryptu JS, tego najpopularniejszego, z którego korzystali inni.

Miało to miejsce kilka lat temu. W krótkim czasie wszyscy moi klienci zasypali mnie prośbami o dołączenie do ich witryn (na każdej podstronie!) skryptu JS, który wyświetlał tekstową zachętę, a obok szereg ikonek do Facebooka i Twittera. Użytkownik po kliknięciu mógł automatycznie "polubić" bądź "udostępnić" daną podstronę w wybranej społecznościówce.

Każdej osobie z osobna tłumaczyłem: nie wolno umieszczać na stronie skryptu JS, który zaciąga dane z zagranicznego serwera o dziwnej domenie i wstrzykuje coś do twojej strony. To nieodpowiedzialne. To głupie. - Ale to przecież tylko ikonki do Facebooka - słyszałem w odpowiedzi. Albo: - Ale przecież inni też to mają, więc to musi być bezpieczne.

Koniec końców musiałem to coś powstawiać na strony. I nie tylko ja, bo skrypt pojawił się dosłownie wszędzie, od prywatnych blogów, po strony firmowe, nawet te, które udostępniają płatność kartą.

Minęło kilka lat i nagle wszyscy do mnie wrócili. Zaczęli prosić i błagać, by w trybie pilnym usunąć to dziadostwo z ich strony, bo programy antywirusowe blokują dostęp do strony bądź straszą użytkowników wirusami.

Ale nie wszyscy usunęli złośliwy kod, dlatego dziś dosłownie co druga odwiedzona przeze mnie strona sypie takimi oto monitami z antywirusa:


Sytuację można było przewidzieć. Nigdy pod żadnym pozorem nie wolno umieszczać na stronie cudzego kodu, za wyjątkiem tych, do których mamy jako takie zaufanie, na przykład skrypty do statystyk.

Nawet najbardziej niewinny skrypt osadzony z zewnątrz może w każdej chwili stać się złośliwym oprogramowaniem. I nie musi to nastąpić z inicjatywy autora skryptu. Wystarczy że domena, z której dociągane są dane, zostanie przejęta (na przykład w następstwie jej nieopłacenia). Nowy właściciel z dnia na dzień zdobywa kontrolę nad tysiącami stron internetowych, które z własnej woli umieściły kod JS odwołujący się do jego domeny.

Myślicie że właściciele stron czegoś się nauczyli? A skąd. Nadal podsyłają zewnętrzne skrypty do osadzenia w ich witrynach, jeszcze głupsze od tego poprzedniego.



Technologie i człowiek