Многие интернет-пользователи (среди них встречаются и наши клиенты) спрашивают часто — как удалить тот или иной вирус с компьютера, пролезший на него после посещения какого-нибудь сайта. Устранение угроз в нашем блоге рассматривать не хотелось бы, а вот про то, как одни сайты могут помочь защититься от других, расскажу.
OpenID — как всё начиналось
А начиналось всё много лет назад (точнее, в 2006-м), когда дальновидные разработчики предложили, обосновали и внедрили протокол, позволяющий, говоря совсем просто, «регистрироваться и входить на всех сайтах под одним логином и паролем».
Шли годы, технология претерпевала изменения, становясь доступнее и удобнее как для бесчисленных энтузиастов, так и для простых посетителей сайтов. Протокол OpenID вовсю использовался в социальных сетях, личных и общественных блогах, новостных изданиях и т.д. Все были счастливы (и действительно, что может быть удобнее — открыл в одной вкладке свою любимую социальную сеть или вовсе Gmail, нажал пару кнопок и пожалуйста — ты теперь и тут с личным кабинетом). Пока на рынок массовых онлайн-сервисов не пришли мошенники.
Охота на лис
Чтобы понять, о чём я тут пишу, давайте взглянем на картинку:

Правда знакомо? Да, на скриншоте ссылки на искусственно раскрученные (и в этом контексте не значит «популярные») ресурсы, основная цель которых — относительно честный отъём денег у излишне доверчивой и наивной части интернет-аудитории. Результат «сотрудничества» всегда один — мы видим ещё больше рекламы подобных сайтов, следовательно, денежный поток из карманов пользователей не иссякает. Не все соки одинаково полезны и не все сайты, оперирующие в пользу участников и за их счёт виртуальной наличностью, мошеннические на 100%.
Как именно популярный протокол авторизации OpenID помогает таким ресурсам привлекать ещё больше пользователей, уверен, объяснять нет нужды:
- в одной вкладке браузере открыт «аукцион», в другой — любимая социальная сеть с уже введённым паролем (это называется «залогиниться»)
- новый посетитель «аукциона» нажимает пару кнопок и оба сайта связываются одним логином и паролем
В чём же хитрость?
А вот в чём: новые пользователи сайта, таким вот нехитрым образом получившие на «аукционе» личный кабинет, фактически на данном сайте не зарегистрированы. Нет регистрации — нет и ответственности. Формально такой пользователь на сайте просто гость — все сведения о нём были переданы любимой социальной сетью или почтовым сервисом.
Превентивные меры
Приятный момент во всей этой котовасии, конечно же, есть: всё-таки протокол создавали светила цифрового мира и такое популярное впоследствии решение никак не могло появиться без встроенного механизма защиты — «отзыва доверия». Иными словами, предусмотрен отзыв «доверенности» на подключение к источнику данных (ваш емейл, ваши зашифрованные пароль, логин и т.д.) и последующее отклонение входящего подключения. На практике это выглядит как неработающий вход на сайт по OpenID — то есть, кнопки «войти с ВК», «войти с Facebook» и т.д. не работают.
Из последнего абзаца родился совет: если уж хотите «попытать счастья» на «рынках ценных бумаг и валют», начните с проверки такого сайта на честность простой попыткой входа / регистрации через OpenID. Если доверие к сайту у провайдеров OpenID есть, на следующем шаге вас встретит подобное окошко:

Если же вместо подобного запроса вы увидите сообщение об ошибке, без сожаления расставайтесь с таким сайтом — ловить там кроме вирусов (и ещё большего обмана) нечего.