IT-Специалист Аникушин: авторизация на сайтах через всплывающие окна небезопасна

Эксперт назвал авторизацию на сайтах через всплывающие окна небезопасной, она позволяет загружать один сайт внутри другого, и этим могут воспользоваться злоумышленники, рассказал РИА Новости руководитель центра бесшовности МТС ID Роман Аникушин.

"Если при авторизации вы видите всплывающее окно, похожее на часть вебсайта, скорее всего используется технология iFrame. Дело в том, что такая авторизация позволяет загружать один сайт внутри другого, и этим могут воспользоваться злоумышленники. Они накладывают невидимый слой с фиктивными кнопками поверх настоящего сайта",- сообщил он.

В итоге, когда пользователь думает, что нажимает, например, на кнопку "Войти", на самом деле он передает свои данные мошенникам. Этот прием называется "кликджекингом", и он позволяет мошенникам украсть логины, пароли и получить доступ к аккаунту.

По словам эксперта, наиболее надежным решением остается вынесение авторизации на отдельный сайт или страницу, куда перенаправляется пользователь. "Такая архитектура исключает прямое вмешательство злоумышленников в процесс входа, ведь весь трафик проходит через файрволл, что соответствует требованиям информационной безопасности и не дает шанса обойти фильтрацию", - пояснил он.

Аникушин добавил, что файрволл отсекает подозрительный трафик и минимизирует ущерб при DDoS-атаках. Это особенно важно при работе с большими массивами пользовательских данных.

ria.ru