雲棲號資訊:【點擊查看更多行業資訊】
在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!
巴克萊銀行似乎一直在使用互聯網檔案館的網頁時光機(Wayback Machine)作爲一個“內容分發網絡”來獲取一個 Javascript 文件。
Twitter 用戶 @immunda 發現了這個奇妙的事實,他在上週四發現這家英國金融機構正在從互聯網檔案館調用 JS。
他與巴克萊 Twitter 賬號的聊天機器人就此事白費了一番口舌,但隨後他說自己已經找到了一位真人員工,後者承諾解決這個可笑的錯誤。
據 The Register 的調查,這個奇妙錯誤的具體內容,應該是巴克萊在從互聯網檔案館中的這個 URL 提取一個文件:
web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js如果 web.archive.org 出現故障,可能也會拖垮巴克萊的網站。更大的風險是,如果有人設法更改這個 URL 上的 JS 文件,他們可以注入……拜託,他們想注入什麼不是隨意嗎。
JS 是互聯網上以金融機構爲目標的犯罪團伙最喜歡用的攻擊媒介之一。
薩里大學的 Alan Woodward 教授說:“受黑客利用的潛在風險只是問題的一個方面。歸根結底,在網站上集成所有這些資產的是組織自己,決定從其他網站引用哪些資產的也不是別人,但想要確保自家網站安全性的話,起碼你得搞清楚自己的網頁都放了什麼內容吧。”
他還說:“誰會使用互聯網檔案館來獲取重要資產呢,比如本案中的 JS 文件或類似的重要數據?”
信息安全研究員 Scott Helme 也在 Twitter 上討論了這個話題,他做了一番研究,試圖弄清爲什麼巴克萊要做這麼愚蠢的事情。
他認爲巴克萊的網站沒有內容安全策略,所以開發人員可以隨意添加第三方 JS 內容。另外他們也沒有子資源完整性檢查,所以如果互聯網檔案館想在這個 JS 文件上做手腳,放一個鍵盤記錄器、密碼竊取程序、惡意重定向之類的黑客工具,那巴克萊會遭殃也是活該。
這種做法以前也有人諮詢過,但那時就有人說這個想法太糟糕了,而且互聯網檔案館並不想支持這種行徑。
信息安全公司 Eset 的 Jake Moore 認爲這可能是某種測試,但後果失控了。他說:“這件事又一次提醒我們,測試流程應該完整而全面,尤其金融機構更應如此。”
媒體已要求巴克萊銀行提供解釋,但想來他們只會說:“我們有責任非常認真地保護客戶的數據,這是我們最重視的工作。我們想告訴客戶,這個錯誤並不會給他們的數據帶來威脅。”
互聯網檔案館的網頁時光機功能主管 Mark Graham 也迴應了此事:網頁時光機的任務是幫助打造更好用,更可靠的互聯網。
人們在使用這一功能時探索出了衆多創造性的用法來幫助實現上述目標,我們經常爲他們的新奇想法而讚歎不已。特別是記者、學生、研究人員、學者、事實檢查人員、活動家和公衆,他們總能想出一些新點子。但銀行一般並不會搞出什麼花樣來。
顯然,巴克萊的某個人犯了一個錯誤(我們誰又沒犯過錯呢!)如果這一事件可以幫助更多的人瞭解網頁時光機提供的免費服務,那這也未嘗不是好事嘛!
【雲棲號在線課堂】每天都有產品技術專家分享!
課程地址:https://yqh.aliyun.com/zhibo立即加入社羣,與專家面對面,及時瞭解課程最新動態!
【雲棲號在線課堂 社羣】https://c.tb.cn/F3.Z8gvnK
原文發佈時間:2020-07-10
本文作者:Gareth Corfield
本文來自:“InfoQ ”,瞭解相關信息可以關注“InfoQ”