Первоапрельская шутка от Google серьезно ослабила защиту поисковика
22.04.2015
Первоапрельская шутка с доменом com.google позволила злоумышленникам эксплуатировать уязвимость поисковой системы.
По мнению экспертов из компании Netcraft, первоапрельская шутка Google, когда все содержимое домена com.google (копии домашней страницы компании) отображалось вверх ногами провалилась. Специалисты Netcraft считают, что благодаря этому Google позволила злоумышленникам эксплуатировать уязвимость в поисковой системе.
Эксперты Netcraft отмечают, что шутка "разрушила важную функцию безопасности реальной домашней страницы Google и сделала ее уязвимой к кликджекингу". Проблема состояла в том, как домен com.google использовал плавающий фрейм. Обычно google.com применяет заголовок X-Frame-Options для того, чтобы предотвратить отображение других сайтов в плавающем фрейме. Однако для реализации шутки в Google решили обойти эту проблему, выставив параметр "igu=2", который не только позволяет отобразить все содержимое наоборот, но также дает серверу команду полностью упускать заголовок X-Frame-Options.
Злоумышленник мог бы эксплуатировать подобную уязвимость для того, чтобы отобразить страницу настроек поисковика Google на внешнем домене и заставить жертву изменить эти настройки. Среди таких настроек присутствует возможность включения безопасного поиска, а также выставление данных о местоположении. Netcraft сообщила об уязвимости Google, и поисковая компания оперативно устранила брешь.
