HTML5 открывает новые возможности для вредоносных программ

«Если бы авторы вредоносных программ изучили орфографию и писали без ошибок — нам всем пришёл бы конец», — шутит Скотт Хансельман, рассказывая о том, как он чуть не установил зловреда во время сёрфинга по интернету. В какой-то момент на экране выскочило сообщение якобы от антивируса Microsoft Security Essentials.

​

Опытный веб-разработчик Скотт говорит, что сердце готово было выпрыгнуть у него из груди, настолько сильно он испугался, что компьютер кишит вирусами. Но в следующую секунду он обратил внимание, что сообщение выглядит как-то подозрительно. Оно выскочило на экран в момент перехода на новую веб-страницу, что само по себе подозрительно. Сообщение строго отцентрировано в браузере, что тоже как-то странно. И главное — текст в сообщении написан с грамматической ошибкой (migth вместо might). Когда программист заметил это, то сразу понял, что никакая нормальная программа не могла выдать такое сообщение, а это поделка неизвестного и малограмотного вирусописателя.

​

«Когда для веб-приложений станет обычным делом использование HTML5 с локальным хранилищем на компьютере пользователя, геолокацией и, возможно, исполнением нативного кода, а также другими функциями, то плохие парни начнут делать то же самое со своими вредоносными программами, — пишет Хансельман. — Если ты можешь написать Doom на HTML5, то ничто (кроме желания и способностей) не помешает тебе написать adware/scareware/malware на JavaScript. Это будет не стандартная атака CSRF/XSS, которая сама по себе опасна — я знаю, работал в банковской отрасли — но программа, которая со всей сложностью дублирует доверенное программное обеспечение, полностью воссоздавая его интерфейс с помощью HTML5/CSS3 и современного JS».

Скотт Хансельман предлагает задуматься о внедрении цифровых подписей для HTML5-приложений или сертификатов Extended Validation SSL, или каких-то других способов защититься от этой угрозы.

Дата: 02.07.2012
http://www.xakep.ru/post/58929/​

 

Он наверное ничего не заподозрил бы, когда нажал на кнопку очистки и ему предложилась скачаться какая-то хрень или отправить смс.

Опыт прям из щелей прёт

 

сейчас полно таких, в основном партнёрки. которые выманивают смс

 

это не ошибка, а просто опечатка

 

.....да ну ладно, это ещё цветочки. Когда "опытный веб-программист" понял что никакого Security Essentials у него на компьютере сроду не стояло - тут уж он на 99.9% убедился, что это вредоносная программа...
Но и после этого сомнения терзали его душу...