Руководитель центра бесшовности МТС ID Роман Аникушин назвал авторизацию на сайтах через всплывающие окна небезопасной, так как она позволяет загружать один сайт внутри другого, и этим могут воспользоваться злоумышленники.
«Если при авторизации вы видите всплывающее окно, похожее на часть вебсайта, скорее всего используется технология iFrame. Дело в том, что такая авторизация позволяет загружать один сайт внутри другого, и этим могут воспользоваться злоумышленники. Они накладывают невидимый слой с фиктивными кнопками поверх настоящего сайта»,- сообщил эксперт.
В итоге, когда пользователь думает, что нажимает, например, на кнопку «Войти», на самом деле он передает свои данные мошенникам. Этот прием называется «кликджекингом», и он позволяет мошенникам украсть логины, пароли и получить доступ к аккаунту.
Специалист назвал наиболее надежным решением вынесение авторизации на отдельный сайт или страницу, куда перенаправляется пользователь. По его словам, такая архитектура исключает прямое вмешательство злоумышленников в процесс входа, так как весь трафик проходит через файрволл, что соответствует требованиям информационной безопасности.
Аникушин добавил, что файрволл отсекает подозрительный трафик и минимизирует ущерб при DDoS-атаках. Это особенно важно при работе с большими массивами пользовательских данных.
Фото: Александр Амельянчик/ForPost
?>
