Někdo jej opěvuje, jiný zatracuje. Já patřím do té druhé skupiny. Moje nechuť vůči Flash bannerům a podobným svinstvům se ještě zvýšila, když mi před chvílí kolega (thanks to Ambition) poslal odkaz na článek http://blogs.zdnet.com/security/?p=1733. Hackeři se procpali na normální navštěvované sajty a pomocí flash bannerů kradou nic netušícím uživatelům obsah jejich mezischránky (clipboardu). Normálně beru obdobná bezpečnostní rizika s určitou mírou odstupu, u tohodle mi moc dlouho netrvalo, než jsem si představil docela brutální důsledky těchto útoků.
Scénář 1: Platím něco kartou na Internetu. Všechny údaje mám uložené v KeePass, případně v eWalletu. Abych se nespletl, kopíruji si jednotlivé položky přes schránku.
Scénář 2: Hlásím se na vzdálený server (RDP, HTTPS, cokoliv). U účtu mám nastaveno brutální heslo, tak brutální, že jej nelze pomalu ani bez chyby napsat. Takže si jej z KeePass, eWalletu pomocí schránky.
Scénář 3: Nastavuji na zabezpečeném systému třeba pitomý scheduled task, který má běžet pod privilegovaným účtem opět s nějakým strašným heslem.
Scénář 4: Vydávám certifikáty pro weby, lidi, zařízení. Kvůli archivaci několikrát kopíruju přes clipboard jak CSR, tak vlastní PEM (včetně privátního klíče).
A u všech těchto scénářů mám jen tam mimoděk otevřené okno s nějakým zcela normálním běžným zpravodajským webem :( A informace ode mne putují pryč. Brrr.
Řešení:
a) absurdní řešení - při práci s důvěrnými daty pečlivě uzavřu všechny prohlížeče, zkontroluju, že nevisí žádný v paměti
b) nazvěme jej Pátkovo paranoidní řešení - budu blokovat veškerý příchozí/odchozí provoz na mou mašinu s výjimkou toho, na čem aktuálně dělám
c) nainstaluji si flashblocky do všech prohlížečů, případně odinstaluji Flash Player. Hned jsem v IE7Pro šel do nastavení, AD Blocker, Enable Flash blocker. A do FF jsem nacpal Flashblock.
Jedno horší než druhé. Dokud nezareagují antivirové firmy (snad), tak volím variantu c.