https://www.opennet.ru/openforum/vsluhforumID3/117344.html Исследователь безопасности Виллем де Гроот (Willem de Groot) сообщил (https://twitter.com/gwillem/status/1127617495911804935), что в результате взлома инфраструктуры атакующие смогли внедрить вредоносную вставку в код системы web-аналитики Picreel (https://www.picreel.com/) и открытой платформы для генерации интерактивных web-форм Alpaca Forms (http://www.alpacajs.org/) (были подменены скрипты, поставляемые через сеть доставки контента Cloud CMS). Подмена JavaScript-кода привела к компрометации 4684 сайтов, применяющих на своих страницах указанные системы (1249 (https://publicwww.com/websites/%22assets.pcrl.co%22/) - Picreel и 3435 (https://urlscan.io/result/b6aaefd5-851b-4c60-8253-d5153f2eab21) - Alpaca Forms). <br><br><br><br>Внедрённый вредоносный код (https://gist.github.com/gwillem/866af760afcef583ebed23948cbbc589) осуществлял сбор сведений о заполнении всех web-форм на сайтах и в том числе мог привести к перехвату ввода платёжной информации и параметров аутентификации. Перехваченная информация отправлялась на https://www.opennet.ru/openforum/vsluhforumID3/117344.html#51 Wed, 15 May 2019 19:12:39 GMT А в больших и дорогих корпорациях карьеру делают, а не сайты. С чего вы взяли, что аффекченные конторы сайт свой сами или у кого-то делали? Они карьеру делали. Поскорее, проще, чтоб только дотянуть и успеть уйти вверх.<br> https://www.opennet.ru/openforum/vsluhforumID3/117344.html#50 Tue, 14 May 2019 16:48:52 GMT &gt; А по факту сегодня массовое использование cdn'ов - безмозглая копипаста со стека <br>&gt; или такое же безмозглое втягивание чужих "аналитик".<br>&gt; Причем тот же сбер уже ловили на сливе данных клиентов таким образом <br>&gt; - он даже не утерся, "божья роса".<br><br>Вот в этом вся проблема !<br><br>Большиство сайтов с посещаемостью в 100 реальных людей в день в лучшем случае, но devops для крутости впарил модное CDN клиенту .<br> https://www.opennet.ru/openforum/vsluhforumID3/117344.html#49 Tue, 14 May 2019 14:13:53 GMT мы непричем, нам так заказали<br> https://www.opennet.ru/openforum/vsluhforumID3/117344.html#48 Tue, 14 May 2019 09:52:17 GMT Нет, конечно. Мы ж не сбербанк какой, мы анонимы!<br> https://www.opennet.ru/openforum/vsluhforumID3/117344.html#47 Tue, 14 May 2019 07:18:55 GMT &gt; Как думаете? Научатся на горьком опыте?<br><br>думаешь, у них бэкапа тоже не было?<br><br>В остальных случаях - они даже и не заметят.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/117344.html#46 Tue, 14 May 2019 07:17:11 GMT &gt; что "наша аналитика умеет все тоже самое и даже немножко лучше <br>&gt; больше быстрее точнее, просто картинка совсем другая." <br><br>угу, а когда это продолжается несколько лет к ряду (прежние проходимцы обратно уже отчалили в свой бангалор) - получаем при покупке авиабилета на сайте одной восточной авиакомпании - около _сотни_ разных подглядывающих и подслушивающих. Причем половине сливается вся инфа из билета, вторая половина может о недостающей догадаться по твоему ip/id/гуглелогину, и друг с дружкой они тоже не забывают поделиться.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/117344.html#45 Tue, 14 May 2019 07:13:31 GMT &gt; Кто-то ещё думает, что, используя integrity, можно пихать сторонние скрипты на страницы <br>&gt; с формами для ввода платёжной информации?<br><br>вы что, НАМ не доверяете?<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/117344.html#44 Tue, 14 May 2019 07:12:44 GMT &gt; Не правда. Есть два use cases: <br>&gt; - не напрягать голову и делать "как все" = CDN <br>&gt; - напрягать голову и делать "не как все" = свои серваки с <br><br>вопрос в экономическом обосновании.<br><br>если у кого-то уже есть серваки разнесенные географически, и он их купил оптом и перепродает как услугу - скорее всего у него получится и дешевле, и надежнее, чем у тебя. Просто потому что он больше на пару порядков. Он один раз на всех своих клиентов решил проблемы фейловера, обслуживания и мониторинга - а ты все это будешь из полешка на коленке выстругивать, причем за зарплату.<br><br>Если при этом ты сохраняешь свои сервисы - возможно, овчинка стоит выделки (сервер приложений и базы тебе все равно и масштабировать и фэйловерить, на этом фоне статику раздать - фигня вопрос, даже если ты нетфликс). <br>Если ты не it-компания вообще - возможно, ты уже вытащил сервисы в облако. (даже арендованное-частное) Тогда можно уже посчитать, что дешевле - использовать облачные мощности для статики, или купить таки немножко чужого cdn для это https://www.opennet.ru/openforum/vsluhforumID3/117344.html#43 Tue, 14 May 2019 07:04:39 GMT Ну, в принципе, да - для традиционных сервисов он обламывается об "you are not google!" (also not amazon, facebook, etc), но если у тебя уже все в чужом облаке - глупо платить за мощности облака там, где можно сэкономить (раздача статики наверняка дешевле обойдется через cdn чем напрямую с инстансов - вопрос только, можно ли эту экономию увидеть хотя бы в микроскоп).<br><br>А по факту сегодня массовое использование cdn'ов - безмозглая копипаста со стека или такое же безмозглое втягивание чужих "аналитик".<br>Причем тот же сбер уже ловили на сливе данных клиентов таким образом - он даже не утерся, "божья роса".<br><br>