InfoQ 活久见:巴克莱银行用网页时光机当作某些JS代码的“CDN”
作者|小智巴克莱银行似乎一直在使用互联网档案馆(https://archive.org/about/)的网页时光机(WaybackMachine)作为一个“内容分发网络”来获取一个Javascript文件 。 Twitter用户@immunda发现了这个奇妙的事实 , 他在上周四发现这家英国金融机构正在从互联网档案馆调用JS 。
文章图片
他与巴克莱Twitter账号的聊天机器人就此事白费了一番口舌 , 但随后他说自己已经找到了一位真人员工 , 后者承诺解决这个可笑的错误 。
据TheRegister的调查 , 这个奇妙错误的具体内容 , 应该是巴克莱在从互联网档案馆中的这个URL提取一个文件:web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js如果web.archive.org出现故障 , 可能也会拖垮巴克莱的网站 。 更大的风险是 , 如果有人设法更改这个URL上的JS文件 , 他们可以注入……拜托 , 他们想注入什么不是随意吗 。
JS是互联网上以金融机构为目标的犯罪团伙最喜欢用的攻击媒介之一 。
萨里大学的AlanWoodward教授说:“受黑客利用的潜在风险只是问题的一个方面 。 归根结底 , 在网站上集成所有这些资产的是组织自己 , 决定从其他网站引用哪些资产的也不是别人 , 但想要确保自家网站安全性的话 , 起码你得搞清楚自己的网页都放了什么内容吧 。 ”
他还说:“谁会使用互联网档案馆来获取重要资产呢 , 比如本案中的JS文件或类似的重要数据?”
信息安全研究员ScottHelme也在Twitter上讨论了这个话题 , 他做了一番研究 , 试图弄清为什么巴克莱要做这么愚蠢的事情 。
文章图片
他认为巴克莱的网站没有内容安全策略 , 所以开发人员可以随意添加第三方JS内容 。 另外他们也没有子资源完整性检查 , 所以如果互联网档案馆想在这个JS文件上做手脚 , 放一个键盘记录器、密码窃取程序、恶意重定向之类的黑客工具 , 那巴克莱会遭殃也是活该 。
这种做法以前也有人咨询过 , 但那时就有人说这个想法太糟糕了 , 而且互联网档案馆并不想支持这种行径 。
信息安全公司Eset的JakeMoore认为这可能是某种测试 , 但后果失控了 。 他说:“这件事又一次提醒我们 , 测试流程应该完整而全面 , 尤其金融机构更应如此 。 ”
媒体已要求巴克莱银行提供解释 , 但想来他们只会说:“我们有责任非常认真地保护客户的数据 , 这是我们最重视的工作 。 我们想告诉客户 , 这个错误并不会给他们的数据带来威胁 。 ”
互联网档案馆的网页时光机功能主管MarkGraham也回应了此事:网页时光机的任务是帮助打造更好用 , 更可靠的互联网 。
人们在使用这一功能时探索出了众多创造性的用法来帮助实现上述目标 , 我们经常为他们的新奇想法而赞叹不已 。 特别是采访人员、学生、研究人员、学者、事实检查人员、活动家和公众 , 他们总能想出一些新点子 。 但银行一般并不会搞出什么花样来 。
显然 , 巴克莱的某个人犯了一个错误(我们谁又没犯过错呢!)如果这一事件可以帮助更多的人了解网页时光机提供的免费服务 , 那这也未尝不是好事嘛!
参考阅读:
【InfoQ 活久见:巴克莱银行用网页时光机当作某些JS代码的“CDN”】InfoQPro是InfoQ专为技术早期开拓者和乐于钻研的技术探险者打造的专业媒体服务平台 。 扫描下方二维码关注InfoQPro , 即可在【充电计划】中获取技术PPT下载链接 , 每周更新哟~持续关注我们 , 还有更多技术分享活动与干货资料 , 就等你来!
点个在看少个bug
- 马克斯·维斯塔潘|英国大奖赛:老汉最后一圈爆胎,仍惊险击败维斯塔潘,勒克莱尔登上领奖台
- 篮球大图|太炸了!复赛首个50+!53+9三分!比肩库里克莱
- InfoQ Vue、React和Angular:该选择哪个框架?
- InfoQ 22款好用的CLI工具
- InfoQVue、React和Angular:该选择哪个框架?
- InfoQ去Oracle实录:如何在线更换金融核心场景中的数据库?
- 雅桑克莱|雅桑克莱遭遇三连败,泰拳王朝面临更迭?
- InfoQ Gateway,云原生时代的流量入口:Envoy
- 调整|菲亚特克莱斯勒Q2营收139亿美元不及预期,调整后亏损11亿美元
- 买鹌鹑蛋忘记煮孵出一窝小鹌鹑|【活久见】买鹌鹑蛋忘记煮孵出一窝小鹌鹑,具体是怎么回事?