Специалисты CERT обнаружили проблему с cookie во всех современных браузерах

Александр Панасенко 30 Сентября 2015 - 07:24

...

Команда ученых из Computer Emergency Response Team (CERT) опубликовала отчет, согласно которому, реализация хранения и использования cookie-файлов практически во всех современных браузерах ставит безопасность системы под вопрос.

Ученые рассказали, что производители примеряют стандарт RFC 6265, отвечающий за браузерные cookies, неверно. Проблема заключается в следующем. Полученные через обычный HTTP-запрос cookie-файлы могут отмечаться как «защищенные», то есть имеют secure flag. По идее, такие cookie должны передаваться только через HTTPS-соединение, пишет xakep.ru.

Однако исследователи выявили, что многие современные браузеры используют любые cookie-файлы в ходе HTTPS-соединения, не проверяя при этом их источник (так называемый cookie forcing). В том числе, принимаются и «защищенные» cookie, подложенные в систему ранее. Это позволяет атакующему осуществить man-in-the-middle атаку, внедрив через HTTP-запрос фальшивые cookie, которые будут маскироваться под cookie-файлы других, легитимных сайтов, перезаписывая настоящие. Такую подмену будет сложно заметить даже тем, кто регулярно проверяет списки cookie в браузере и ищет в них подозрительное. Далее, при помощи такой подделки, можно легко перехватить приватную информацию пользователя, в ходе HTTPS-сессии.

Впервые о проблеме рассказали еще в августе 2015 года, на конференции USENIX 24, так что разработчики браузеров уже успели подготовиться и выпустить «заплатки». Проблеме были подвержены буквально все браузеры: Safari, Firefox, Chrome, Internet Explorer, Edge, Opera и Vivaldi. От бага избавлены лишь самые последние их версии.

Специалисты CERT также рекомендуют вебмастерам использовать HSTS (HTTP Strict Transport Security) для доменов верхнего уровня.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Апреля 2026 - 21:21

Соответствие законодательству РФ Домашние пользователи Защита от мошенничества Безопасность платежей

Банки с 1 июля начнут передавать ИНН при переводах через СБП

С 1 июля 2026 года в России при переводах и платежах через Систему быстрых платежей станет обязательным указание ИНН. Об этом на форуме «Антифродум» рассказал руководитель направления СБП Центра противодействия мошенничеству НСПК Никита Юрков.

Речь идёт не только о переводах между физлицами. Новое правило затронет и операции между физлицами и юрлицами.

При этом самим клиентам ничего дополнительно заполнять не придётся: передавать ИНН через инфраструктуру НСПК будут банки — разумеется, если эти данные у них есть.

Нововведение объясняют борьбой с дропами и мошенническими схемами. По словам Никиты Юркова, злоумышленник может сравнительно легко сменить номер телефона, перевыпустить карту, открыть новый счёт или даже переоформить паспорт. А вот ИНН — реквизит куда более устойчивый, заменить его физлицу значительно сложнее.

В НСПК считают, что именно это сделает ИНН удобным инструментом для отслеживания подозрительных операций. Такой идентификатор позволит быстрее выявлять риски и осложнит использование подставных счетов в схемах вывода и обналичивания денег.

Как отметил Юрков, ИНН станет универсальным идентификатором, который поможет эффективнее проверять риски как в СБП, так и в платёжной системе «Мир». Это, по его словам, даст возможность развивать антифрод-инструменты и усложнять мошенникам обход уже действующих ограничений.

В пресс-службе НСПК уточнили, что обязанность по обмену ИНН клиентов ляжет именно на банки. Они будут передавать эти сведения через инфраструктуру НСПК в обязательном порядке.

Напомним, ранее россиянам предложили ограничить количество банковских карт — не более 20 штук на человека, из них максимум пять в одном банке.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!