Национальная Ассамблея Франции будет отвечать перед законом?

Ксения Ренселаева 29 Августа 2010 - 18:27

...

Обычно, не принято шутить, когда обнаруживается, что веб-сайт правительства имеет слабую систему защиты, но в данном случае можно сделать исключение. Оказалось, что сайт Национальной Ассамблеи Франции уязвим для iFrame атак.

Согласно закону, который был принят правительством Франции, каждый пользователь несет ответственность за безопасность своего интернет-соединения. Если пользователь не принял должные меры, чтобы обезопасить свое соединение (например, WiFi), он будет нести ответственность за нарушение авторских прав, если окажется, что информация была скачана через его IP. Законопроект был предложен HADOPI это правительственная организация, регулирующая вопросы авторского права во Франции.

После утверждения закона была проведена акция, в которой водителям раздавались листовки с предупреждением о том, что следует принять меры по защите своего интернет - соединения. Французкий блоггер, Bluetoff, следуя предписаниям в листовке, сделал интересное открытие. Оказалось, что официальный сайт Национальной Ассамблеи Франции не является самым безопасным сайтом в мире - на сайт можно инжектировать Javascript и iFrames через форму поиска. Это означает, что любой пользователь, обладающий минимальными знаниями в области веб – кодирования может воспользоваться материалами сайта, при этом ответственность за данную «халатность», как определили в HADOPI, будет нести администрация сайта.

По всей видимости, идея внедрения iFrame на сайт Национальной Ассамблеи Франции состоит в том, чтобы использовать его в качестве прокси для возможности скачивания материалов нелегально. Когда правообладатели проследят за IP адресом, он окажется правительственным. Но поскольку правительство не обеспечило защиту своего сайта должным образом, то, согласно закону, они сами будут отвечать за свои ошибки. Получается, что правительство подписало себе вердикт принятым им же законом.

Видно, что подход был творческим . Конечно, маловероятно, что может что-то произойти, но довольно забавно то, что французское правительство, принимая закон, не может защитить свои собственные сайты.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 31 Марта 2026 - 20:23

Трояны Домашние пользователи Корпорации

Популярная библиотека Axios оказалась заражена трояном через npm

Популярная JavaScript-библиотека Axios оказалась жертвой атаки на цепочку поставок: злоумышленник скомпрометировал npm-аккаунт одного из ведущих мейнтейнеров и через него опубликовал две вредоносные версии пакета — axios@1.14.1 и axios@0.30.4.

По данным исследователей, обе сборки распространяли скрытый троян для macOS, Windows и Linux. Axios при этом остаётся одной из самых популярных библиотек в экосистеме npm — её скачивают примерно 100 млн раз в неделю.

В заражённые версии Axios добавили всего одну новую зависимость — plain-crypto-js@4.2.1, замаскированную под легитимную библиотеку crypto-js. При этом в исходном коде Axios эта зависимость никак не использовалась: её задачей был запуск postinstall-скрипта, который связывался с управляющим сервером, скачивал вредоносную нагрузку под конкретную ОС и затем зачищал следы своей работы.

Атака развивалась поэтапно. Сначала в npm загрузили «чистую» приманку plain-crypto-js, чтобы создать историю публикаций, а затем — уже заражённую версию. После этого через взломанный аккаунт мейнтейнера были опубликованы две вредоносные версии Axios — сначала для ветки 1.x, а затем для старой, но всё ещё популярной ветки 0.x. То есть атакующий накрыл сразу оба основных сценария использования библиотеки.

Согласно анализу, вредоносный код начинал сетевую активность почти сразу после установки пакета. На macOS троян маскировался под системный процесс Apple, на Windows использовал PowerShell и скрытый скрипт, а на Linux разворачивал Python-бэкдор во временной директории. После этого вредоносный модуль удалял собственные файлы и подменял их «чистой» заглушкой, чтобы при поверхностной проверке установленный пакет не вызывал подозрений.

Вредоносные версии, по имеющимся данным, оставались доступными в npm примерно два-три часа, после чего их удалили, а пакет plain-crypto-js попал под блокировку. При этом заражённые релизы не появились среди тегов GitHub-репозитория Axios, что указывает на публикацию напрямую в npm в обход обычного CI/CD-пайплайна проекта.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!