Эксперт назвал авторизацию на сайтах через всплывающие окна небезопасной

Эксперт назвал авторизацию на сайтах через всплывающие окна небезопасной, она позволяет загружать один сайт внутри другого, и этим могут воспользоваться злоумышленники, рассказал руководитель центра бесшовности МТС ID Роман Аникушин.

"Если при авторизации вы видите всплывающее окно, похожее на часть вебсайта, скорее всего используется технология iFrame. Дело в том, что такая авторизация позволяет загружать один сайт внутри другого, и этим могут воспользоваться злоумышленники. Они накладывают невидимый слой с фиктивными кнопками поверх настоящего сайта",- сообщил он.

В итоге, когда пользователь думает, что нажимает, например, на кнопку "Войти", на самом деле он передает свои данные мошенникам. Этот прием называется "кликджекингом", и он позволяет мошенникам украсть логины, пароли и получить доступ к аккаунту.

По словам эксперта, наиболее надежным решением остается вынесение авторизации на отдельный сайт или страницу, куда перенаправляется пользователь. "Такая архитектура исключает прямое вмешательство злоумышленников в процесс входа, ведь весь трафик проходит через файрволл, что соответствует требованиям информационной безопасности и не дает шанса обойти фильтрацию", - пояснил он.

Аникушин добавил, что файрволл отсекает подозрительный трафик и минимизирует ущерб при DDoS-атаках. Это особенно важно при работе с большими массивами пользовательских данных.