Внешние библиотеки на сайтах и замена кода
Сообщают про неожиданную замену кода JS-библиотеки Polyfill.io после смены администратора домена или администратора веб-сервера, раздающего код (насколько можно понять). Библиотека используется в качестве внешнего ресурса на многих сайтах, а в результате изменения кода некоторые браузеры пользователей перенаправляются на сторонние сайты. Это происходит без ведома веб-мастера, понятно, который может ничего и не замечать, поскольку для него перенаправлений нет.
Я, например, в 2019 году (но, конечно, и многим раньше) писал про внешние библиотеки на сайтах буквально следующее:
На первый взгляд может показаться, что библиотека выполняет только те функции, ради которых её использовал веб-разработчик. Но это не так: программный код библиотеки может быть изменён владельцем узла, с которого библиотека загружается (либо третьей стороной на пути до клиента), после чего она сможет реализовать какой угодно набор функций, например, собрать пользовательские данные со страницы, изменить её содержание, сделать просмотр недоступным, перенаправить браузер на произвольный адрес и так далее, и тому подобное. В некоторых современных браузерах существует механизм базовой защиты от подмены исходного кода встраиваемых библиотек под названием Subresource Integrity (SRI), но на практике этот механизм ни на каких сайтах не используется.
[…]
Администратор узла, с которого загружается библиотека, волен как угодно вмешиваться в её код. Реально передаваемый клиентскому браузеру файл может выбираться индивидуально, другими словами, атака, связанная с подменой библиотеки, может быть точно настроена на:
конкретные IP-адреса (т.е. конкретных пользователей);
конкретные типы браузеров;
определённое время;
любую комбинацию этих настроек.То есть даже если администратор исходного веб-ресурса, test.ru в нашем примере, пытается как-то отследить корректность работы узлов, на которых находятся используемые библиотеки, он не в состоянии этого сделать: для IP-адресов, с которых проводится проверка, всё может работать корректно, при этом для других посетителей сайта картина окажется совсем другой.
(Отмечу, в скобках, что хотя бы SRI сейчас начали иногда использовать, но внедрение SRI – всё равно редкий случай.)
Адрес записки: https://dxdt.ru/2024/06/26/13266/
Похожие записки:
- Сайт OpenSSL и сегментация интернетов
- DNS как транспорт для сигналов и данных
- Техническое: ключи DNSSEC и их теги
- Фольклор и квантовый компьютер
- YandexGPT и степени тройки
- Реплика: перенос доменных имён и GoDaddy
- Представления о квантах и радиостанции
- Экспериментальный сервер TLS 1.3: замена сертификатов
- Реплика: интерпретация результатов интернет-измерений
- Постквантовые криптосистемы в Google Chrome (Kyber768)
- Ещё слово года
Комментарии читателей блога: 2
1. 27th June 2024, 09:55 // Читатель Alena написал:
Я сходила на исходный английский сайт, прочитала, что tiaozhan переводится как jump, и пахнуло такими знакомыми интонациями, что сразу возник вопрос, а был ли мальчик? Кто-нибудь действительно встречался с перенаправлениями на вредоносные сайты? Или после приобретения сайта китайцами про них решили написать страшилку?
2. 27th June 2024, 17:34 // Александр Венедюхин:
Что там в этом конкретном случае – пока не очень понятно, да. Вот, например, в Cloudflare, вроде как, подтверждают: https://blog.cloudflare.com/automatically-replacing-polyfill-io-links-with-cloudflares-mirror-for-a-safer-internet
Но данный случай взят лишь для примера. Проблема с такой централизацией – общая.
Написать комментарий