Ради первоапрельской шутки Google подверг опасности своих пользователей
1-го апреля Google порадовал нас, пожалуй, одной из самых ярких первоапрельских шуток — по адресу com.google отображалось зеркальное отражение главной страницы поисковика.
Однако, некоторое время спустя компания Netcraft, работающая в сфере цифровой безопасности, опубликовала материал, согласно которому, для реализации розыгрыша на перевернутом домене com.google поисковику пришлось отключить на основном домене google.com заголовок X-Frame-Options, который препятствует встраиванию главной страницы Google на сторонних вебсайтах.
Параметр igu=2 приводит к деактивации защиты. К счастью, похоже, что никто не успел воспользоваться уязвимостью, поскольку она просуществовала лишь в «день дурака».
Уязвимость позволяла осуществлять, так называемый, «угон кликов» или clickjacking. Злоумышленники, к примеру, могли встроить страницу Google на стороннем сайте поверх скрытого интерфейса, пользователи могли бы нажимать на ссылки и кнопки, думая, что это часть интерфейса Google, однако эти ссылки могли бы направлять куда угодно.
По сути, компании пришлось пойти на такой шаг, поскольку «зеркальная» главная страница сама по себе использует clickjacking. Создание отраженной страницы другими методами, которые позволили бы не отключать защиту, было бы слишком трудоемким.
