×
Первоапрельская шутка могла дорого обойтись Google

Первоапрельская шутка Google, состоявшаяся две недели назад, привела к сбоям в безопасности сайта, которые могли вылиться в изменение пользовательских предпочтений. Подробностями делится портал arstechnica.com.


Дизайн сайта Google на первое апреля – любимое развлечение многих пользователей всемирной сети. В этом году те, кто заходил на главную страницу поисковика в День дураков, увидели весь контент сайта перевернутым наизнанку. Дотошные веб-разработчики также нашли комментарий в коде веб-страницы, который читался как !sLooF LIRPA YPPAH, что представляет собой «С 1 апреля» (Happy April Fool's) наоборот. Согласно записи в блоге, опубликованной в конце прошлой недели исследователями из Netcraft, шутка также привела к потере одной из частей заголовка, который до этого защищал главную страницу Google от click-jacking attacks.


Атакующие могли использовать отсутствие заголовка X-Frame-Options, чтобы изменить настройки пользователей, включая отмену фильтров SafeSearch. Основная задача X-Frame-Options – предотвратить использование фреймовых тегов HTML, чтобы использовать домашнюю страницу Google на других сайтах. Благодаря обходу этой защиты атакующие могли использовать поисковик Google на своих собственных сайтах и встраивать в него скрытый код, который изменяет работу ряда важных функций. Как поясняют аналитики Netcraft, «ради первоапрельской шутки Google использовала параметр "igu=2" на google.com, который не только позволил перевернуть весь контент домашней страницы наизнанку, но и дал серверу команду полностью опустить заголовок X-Frame-Options».


Как и многие технологические вендоры, Google поощряет поиски ошибок на своих страницах, однако в этом случае речь идет о постфактум-анализе, который указывает на небрежность программистов компании.



Автор: Александра Кисель