Применении виртуализации и облачных вычислений в финансовом секторе Европы

Александр Панасенко 06 Февраля 2012 - 14:04

...

Результаты говорят о том, что финансовые организации в Европе в большей степени вовлечены в рассмотрение развивающихся технологий (включая виртуализацию, облака и мобильные технологии), чем компании других отраслей, а также располагают достаточными бюджетами на информационные технологии для внедрения новых систем.

Однако существует дисбаланс между тем, чего финансовые структуры ожидают от этих технологий, и их реальными возможностями. Опрос также выявил сложности, связанные с безопасностью и соответствием требованиям регуляторов, которые препятствуют перемещению критически важных бизнес-приложений в виртуальную среду или гибридное облачное окружение.

Основные результаты:

Финансовый сектор демонстрирует зрелые взгляды на развитие информационных технологий: 81% финансовых структур действительно обсуждает внедрение облачных технологий, в других отраслях этот показатель - только 70%. В дополнение к этому респонденты из финансовых структур региона EMEA (Европа, средний восток и Азия) отмечают развивающиеся технологии и мобильные решения чаще, чем другие участники опроса;
Финансовые организации более продвинуты в вопросах применения виртуализации, чем облачных вычислений: 60% финансовых организаций либо применяют, либо уже применили виртуализацию серверов, в других отраслях этот показатель - 45%. Однако этот сектор более сдержан в вопросах частных/гибридных облаков – только 17% респондентов планируют перемещать критически важные приложения в гибридные/частные облака в следующие 12 месяцев;
Бюджеты финансовых структур готовы к виртуализации и облачным вычислениям: Несмотря на сложности, отмеченные респондентами из финансовых организаций региона EMEA относительно внедрения облачных вычислений, в этом секторе больше участников опроса, отметивших, что в их компаниях имеется соответствующий бюджет для виртуализации и частных/гибридных облаков, чем в других отраслях;
Безопасность важнее всего для финансового сектора: В связи с ужесточением требований в области безопасности вопросы защищенности виртуальных сред могут оказать серьезное воздействие на решения компаний о внедрении данных технологий. 64% финансовых компаний, которые отметили, что не собираются переходить в гибридные/частные облака, выделили безопасность как основную причину. Это ярко контрастирует с результатами опроса представителей других отраслей, где только 31% участников отмечает безопасность как причину того, что они не переходят в гибридное/частное облако;
Расхождение между ожиданиями и реальностью сдерживает развитие рынка: Развивающиеся технологии часто обещают многое, но зачастую не оправдывают ожидания. Такие ожидания как сокращение издержек, повышение масштабируемости, производительности и устойчивости к вредоносным факторам – это лишь часть задач, которые наши респонденты надеялись решить, внедряя технологии виртуализации и облачных вычислений. Однако когда эти технологии начинают работать в реальных условиях, наблюдается несоответствие ожиданий фактической ситуации. Наиболее ярким примером является услуга Private Storage-as-a-Service, отразившая все признаки незрелого рынка.

Наиболее реальными оказались ожидания в вопросах виртуализации серверов, где большая часть финансовых корпораций действительно добилась повышения гибкости, надежности и сократила время перехода на новые серверы.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: