Многие интернет-пользователи (среди них встречаются и наши клиенты) спрашивают часто — как удалить тот или иной вирус с компьютера, пролезший на него после посещения какого-нибудь сайта. Устранение угроз в нашем блоге рассматривать не хотелось бы, а вот про то, как одни сайты могут помочь защититься от других, расскажу.

OpenID — как всё начиналось

А начиналось всё много лет назад (точнее, в 2006-м), когда дальновидные разработчики предложили, обосновали и внедрили протокол, позволяющий, говоря совсем просто, «регистрироваться и входить на всех сайтах под одним логином и паролем».

Шли годы, технология претерпевала изменения, становясь доступнее и удобнее как для бесчисленных энтузиастов, так и для простых посетителей сайтов. Протокол OpenID вовсю использовался в социальных сетях, личных и общественных блогах, новостных изданиях и т.д. Все были счастливы (и действительно, что может быть удобнее — открыл в одной вкладке свою любимую социальную сеть или вовсе Gmail, нажал пару кнопок и пожалуйста — ты теперь и тут с личным кабинетом). Пока на рынок массовых онлайн-сервисов не пришли мошенники.

Охота на лис

Чтобы понять, о чём я тут пишу, давайте взглянем на картинку:

Правда знакомо? Да, на скриншоте ссылки на искусственно раскрученные (и в этом контексте не значит «популярные») ресурсы, основная цель которых — относительно честный отъём денег у излишне доверчивой и наивной части интернет-аудитории. Результат «сотрудничества» всегда один — мы видим ещё больше рекламы подобных сайтов, следовательно, денежный поток из карманов пользователей не иссякает. Не все соки одинаково полезны и не все сайты, оперирующие в пользу участников и за их счёт виртуальной наличностью, мошеннические на 100%.

Как именно популярный протокол авторизации OpenID помогает таким ресурсам привлекать ещё больше пользователей, уверен, объяснять нет нужды:

• в одной вкладке браузере открыт «аукцион», в другой — любимая социальная сеть с уже введённым паролем (это называется «залогиниться»)
• новый посетитель «аукциона» нажимает пару кнопок и оба сайта связываются одним логином и паролем

В чём же хитрость?

А вот в чём: новые пользователи сайта, таким вот нехитрым образом получившие на «аукционе» личный кабинет, фактически на данном сайте не зарегистрированы. Нет регистрации — нет и ответственности. Формально такой пользователь на сайте просто гость — все сведения о нём были переданы любимой социальной сетью или почтовым сервисом.

Превентивные меры

Приятный момент во всей этой котовасии, конечно же, есть: всё-таки протокол создавали светила цифрового мира и такое популярное впоследствии решение никак не могло появиться без встроенного механизма защиты — «отзыва доверия». Иными словами, предусмотрен отзыв «доверенности» на подключение к источнику данных (ваш емейл, ваши зашифрованные пароль, логин и т.д.) и последующее отклонение входящего подключения. На практике это выглядит как неработающий вход на сайт по OpenID — то есть, кнопки «войти с ВК», «войти с Facebook» и т.д. не работают.

Из последнего абзаца родился совет: если уж хотите «попытать счастья» на «рынках ценных бумаг и валют», начните с проверки такого сайта на честность простой попыткой входа / регистрации через OpenID. Если доверие к сайту у провайдеров OpenID есть, на следующем шаге вас встретит подобное окошко:

Если же вместо подобного запроса вы увидите сообщение об ошибке, без сожаления расставайтесь с таким сайтом — ловить там кроме вирусов (и ещё большего обмана) нечего.