Атаки производятся в том числе через внешние компоненты кода web-страниц, ссылается «Интерфакс» на бюллетень НКЦКИ.
«К таким компонентам могут относиться: подключаемые JavaScript-библиотеки, CSS-фреймворки, плагины защиты от вредоносной активности (CAPTCHA), информационные и аналитические плагины (новостные ленты, интерактивные карты, подсчёт посещений информационного ресурса и т.д.), а также web-шрифты, подгружаемые со сторонних серверов», - говорится в сообщении НКЦКИ.
Для защиты приложений НКЦКИ рекомендует организовать авторизованному пользователю web-приложения возможность самостоятельного завершения сеанса работы, обеспечить гарантированное удаление идентификатора соответствующей сессии по завершению сеанса работы клиента. Также в НКЦКИ считают целесообразным предоставлять доступ к защищенным ресурсам web-приложения только после аутентификации, хранить аутентификационные данные пользователей только в криптографически защищенном виде, исключая хранение аутентификационных данных в файлах и HTML-страницах, доступных по URL.
Ранее сообщалось, что в период с 24 по 28 февраля российские частные компании и госорганы атаковали в три раза чаще, чем в феврале прошлого года.
