巴克莱银行用网页时光机当作某些 JS 代码的“CDN”
云栖号资讯:【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!
巴克莱银行似乎一直在使用互联网档案馆的网页时光机(Wayback Machine)作为一个“内容分发网络”来获取一个 Javascript 文件。
Twitter 用户 @immunda 发现了这个奇妙的事实,他在上周四发现这家英国金融机构正在从互联网档案馆调用 JS。
他与巴克莱 Twitter 账号的聊天机器人就此事白费了一番口舌,但随后他说自己已经找到了一位真人员工,后者承诺解决这个可笑的错误。
据 The Register 的调查,这个奇妙错误的具体内容,应该是巴克莱在从互联网档案馆中的这个 URL 提取一个文件:
web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js
如果 web.archive.org 出现故障,可能也会拖垮巴克莱的网站。更大的风险是,如果有人设法更改这个 URL 上的 JS 文件,他们可以注入……拜托,他们想注入什么不是随意吗。
JS 是互联网上以金融机构为目标的犯罪团伙最喜欢用的攻击媒介之一。
萨里大学的 Alan Woodward 教授说:“受黑客利用的潜在风险只是问题的一个方面。归根结底,在网站上集成所有这些资产的是组织自己,决定从其他网站引用哪些资产的也不是别人,但想要确保自家网站安全性的话,起码你得搞清楚自己的网页都放了什么内容吧。”
他还说:“谁会使用互联网档案馆来获取重要资产呢,比如本案中的 JS 文件或类似的重要数据?”
信息安全研究员 Scott Helme 也在 Twitter 上讨论了这个话题,他做了一番研究,试图弄清为什么巴克莱要做这么愚蠢的事情。
他认为巴克莱的网站没有内容安全策略,所以开发人员可以随意添加第三方 JS 内容。另外他们也没有子资源完整性检查,所以如果互联网档案馆想在这个 JS 文件上做手脚,放一个键盘记录器、密码窃取程序、恶意重定向之类的黑客工具,那巴克莱会遭殃也是活该。
这种做法以前也有人咨询过,但那时就有人说这个想法太糟糕了,而且互联网档案馆并不想支持这种行径。
信息安全公司 Eset 的 Jake Moore 认为这可能是某种测试,但后果失控了。他说:“这件事又一次提醒我们,测试流程应该完整而全面,尤其金融机构更应如此。”
媒体已要求巴克莱银行提供解释,但想来他们只会说:“我们有责任非常认真地保护客户的数据,这是我们最重视的工作。我们想告诉客户,这个错误并不会给他们的数据带来威胁。”
互联网档案馆的网页时光机功能主管 Mark Graham 也回应了此事:网页时光机的任务是帮助打造更好用,更可靠的互联网。
人们在使用这一功能时探索出了众多创造性的用法来帮助实现上述目标,我们经常为他们的新奇想法而赞叹不已。特别是记者、学生、研究人员、学者、事实检查人员、活动家和公众,他们总能想出一些新点子。但银行一般并不会搞出什么花样来。
显然,巴克莱的某个人犯了一个错误(我们谁又没犯过错呢!)如果这一事件可以帮助更多的人了解网页时光机提供的免费服务,那这也未尝不是好事嘛!
【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/zhibo立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK
原文发布时间:2020-07-10
本文作者:Gareth Corfield
本文来自:“InfoQ ”,了解相关信息可以关注“InfoQ”
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
一个微博程序员的自述:那些年因为明星出轨背的锅...
云栖号资讯:【点击查看更多行业资讯】在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 这篇文章,我们借助一个微博程序员的视角,来看看当发生明星出轨、结婚、分手等热点事件时,咱们程序员兄弟应该如何设计系统架构,才能扛住这瞬间高峰的粉丝流量,不至于每次都因为明星出轨而无奈背锅。。。 (1)为什么要用缓存集群 其实使用缓存集群的时候,最怕的就是热key、大value这两种情况,那啥叫热key大value呢? 简单来说,热key,就是你的缓存集群中的某个key瞬间被数万甚至十万的并发请求打爆。大value,就是你的某个key对应的value可能有GB级的大小,导致查询value的时候导致网络相关的故障问题。 我们先来看看下面一幅图,假设你手头有个系统,他本身是集群部署的,然后后面有一套缓存集群,这个集群不管你用redis cluster,还是memcached,或者是公司自研缓存集群,都可以。 那么,这套系统用缓存集群干什么呢? 很简单,在缓存里放一些平时不怎么变动的数据,然后用户在查询大量的平时不怎么变动的数据的时候,不就可以直接从缓存里走了吗? 缓存集群的并发能力是很强的,而...
- 下一篇
SUSE收购Rancher Labs:押注云原生市场
云栖号资讯:【点击查看更多行业资讯】在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 导读:Gartner预测,到2024年,成熟的经济体中采用云原生应用程序和基础架构将使容器管理的使用率超过75%的大型企业,而2020年还不到35%。 7月8日,全球最大的独立开源公司SUSE获得收购Rancher Labs的最终审批。Rancher总部位于加利福尼亚州库比蒂诺,是一家私有开源公司,提供市场领先的Kubernetes管理平台。 SUSE收购Rancher Labs:押注云原生市场 “对于我们的行业来说,这是一个令人难以置信的时刻,因为两位开源领导者正在联合起来。SUSE首席执行官Melissa Di Donato表示,企业Linux,边缘计算和AI领域的领导者与企业Kubernetes管理领域的领导者的合并将扰乱市场,帮助客户加速其数字化转型过程。“只有SUSE和Rancher的结合才能拥有全球支持的,包括云原生技术在内的100%真正开放源代码产品组合的深度,以帮助我们的客户从边缘到核心再到云整个业务无缝创新。” 为客户和合作伙伴释放云原生潜力 随着IT领导者越来越多地寻...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境