Верстаю тестовое задание с собеседования на должность "HTML верстальщик сайтов". Полное видео
. các vấn đề, nhóm bảo mật cho trình duyệt Firefox có phiên bản mới của Ngôn ngữ đánh dấu siêu văn bản Web, HTML5, quan trọng nhất trong tâm trí.
"Các ứng dụng web trở nên vô cùng phong phú với HTML5. Trình duyệt đang bắt đầu quản lý các ứng dụng đầy đủ và không chỉ các trang web, "Sid Stamm, người làm việc về các vấn đề bảo mật của Firefox cho Mozilla Foundation nói. Stamm đã phát biểu tại Hội nghị chuyên đề an ninh Usenix, được tổ chức tuần trước tại Washington DC
"Có rất nhiều bề mặt tấn công mà chúng ta cần phải suy nghĩ," ông nói.
Cùng tuần lễ Stamm bày tỏ lo lắng về HTML5, các nhà phát triển của trình duyệt Opera đã bận rộn sửa chữa một lỗ hổng tràn bộ đệm có thể được khai thác bằng cách sử dụng tính năng dựng hình ảnh canvas HTML5.
Không thể tránh khỏi bộ tiêu chuẩn mới của World Wide Web Consortium (W3C) để hiển thị các trang Web, được biết đến chung như HTML5, đi kèm với một loạt các lỗ hổng bảo mật mới? Ít nhất một số nhà nghiên cứu bảo mật đang nghĩ rằng đây là trường hợp.
"HTML5 mang lại rất nhiều tính năng và sức mạnh cho Web. Bạn có thể thực hiện nhiều công việc độc hại hơn với HTML5 và JavaScript đơn giản hơn trước đây Kevin Johnson nói: “Nhà nghiên cứu bảo mật Lavakumar Kuppan cho biết
W3C đang" thiết kế lại toàn bộ ý tưởng rằng chúng tôi sẽ bắt đầu thực hiện các ứng dụng trong trình duyệt. một thử nghiệm thâm nhập với công ty tư vấn bảo mật Ý tưởng an toàn. "Chúng ta phải quay trở lại để hiểu trình duyệt là một môi trường độc hại. Chúng tôi đã mất trang web đó."
Mặc dù nó là tên của một đặc tả riêng, HTML5 cũng thường được sử dụng để mô tả một tập hợp các bộ liên quan lỏng lẻo của các tiêu chuẩn được kết hợp với nhau, có thể được sử dụng để xây dựng các ứng dụng web chính thức. Chúng cung cấp các khả năng như định dạng trang, lưu trữ dữ liệu ngoại tuyến, hiển thị hình ảnh và các khía cạnh khác. (Mặc dù không phải là một đặc tả của W3C, JavaScript cũng thường được gộp lại trong các tiêu chuẩn này, vì vậy được sử dụng rộng rãi trong xây dựng các ứng dụng Web).
Tất cả chức năng mới được đề xuất này bắt đầu được các nhà nghiên cứu bảo mật khám phá.
Đầu mùa hè này, Kuppan và một nhà nghiên cứu khác đã đăng một cách để lạm dụng bộ nhớ cache ứng dụng ngoại tuyến HTML5. Google Chrome, Safari, Firefox và phiên bản beta của trình duyệt Opera đều đã triển khai tính năng này, và sẽ dễ bị tấn công khi sử dụng phương pháp này, họ nhận thấy rằng
Các nhà nghiên cứu cho rằng vì bất kỳ trang Web nào cũng có thể tạo bộ đệm máy tính của người dùng và, trong một số trình duyệt, làm như vậy mà không có sự cho phép rõ ràng của người dùng, kẻ tấn công có thể thiết lập trang đăng nhập giả mạo cho trang web như mạng xã hội hoặc trang web thương mại điện tử.
"Các nhà nghiên cứu khác đã bị phân chia về giá trị của phát hiện này.
" Đó là một bước ngoặt thú vị nhưng nó dường như không cung cấp cho kẻ tấn công mạng bất kỳ lợi thế nào ngoài những gì họ đã có thể đạt được, "Chris Evans viết trên danh sách gửi thư tiết lộ đầy đủ. Evans là tác giả của phần mềm chuyển giao tệp tin rất an toàn (vsftp).
Dan Kaminsky, nhà khoa học chính của công ty nghiên cứu bảo mật Recursion Ventures, đồng ý rằng công việc này là sự tiếp nối các cuộc tấn công được phát triển trước HTML5. "Các trình duyệt không chỉ yêu cầu nội dung, làm cho nó, và ném nó đi. Họ cũng lưu trữ nó để sử dụng sau này … Lavakumar đang quan sát rằng các công nghệ bộ nhớ đệm thế hệ tiếp theo chịu đựng đặc điểm này", ông nói trong một cuộc phỏng vấn qua email
Các nhà phê bình đồng ý rằng cuộc tấn công này sẽ dựa vào một trang web không sử dụng Lớp cổng bảo mật (SSL) để mã hóa dữ liệu giữa trình duyệt và máy chủ trang web, thường được thực hiện. Nhưng ngay cả khi công việc này không khai quật một loại lỗ hổng mới, nó cho thấy một lỗ hổng cũ có thể được tái sử dụng trong môi trường mới này.
Johnson nói rằng, với HTML5, nhiều tính năng mới tạo thành mối đe dọa, do cách họ tăng số lượng kẻ tấn công có thể khai thác trình duyệt của người dùng để làm hại một số loại.
"Trong nhiều năm bảo mật đã tập trung về lỗ hổng - tràn bộ đệm, tấn công SQL injection. Chúng tôi vá chúng, chúng tôi sửa chúng, chúng tôi giám sát chúng, "Johnson nói. Nhưng trong trường hợp của HTML5, bản thân nó thường là các tính năng "có thể được sử dụng để tấn công chúng tôi", ông nói.
Ví dụ, Johnson trỏ tới Gmail của Google, một người sử dụng sớm khả năng lưu trữ cục bộ của HTML5. Trước HTML5, kẻ tấn công có thể phải lấy cắp cookie khỏi máy và giải mã chúng để lấy mật khẩu cho dịch vụ e-mail trực tuyến. Bây giờ, kẻ tấn công chỉ cần truy cập vào trình duyệt của người dùng, nơi Gmail kể chuyện một bản sao của hộp thư đến.
"Những bộ tính năng này thật đáng sợ", ông nói. "Nếu tôi có thể tìm thấy một lỗ hổng trong ứng dụng web của bạn và chèn mã HTML5, tôi có thể sửa đổi trang web của bạn và ẩn những thứ tôi không muốn bạn thấy."
Với bộ nhớ cục bộ, kẻ tấn công có thể đọc dữ liệu từ trình duyệt của bạn hoặc chèn dữ liệu khác mà bạn không biết. Với vị trí địa lý, kẻ tấn công có thể xác định vị trí của bạn mà bạn không biết. Với phiên bản mới của Cascading Style Sheets (CSS), kẻ tấn công có thể kiểm soát những yếu tố nào của trang nâng cao CSS mà bạn có thể thấy. HTML5 WebSocket cung cấp một ngăn xếp giao tiếp mạng cho trình duyệt, có thể bị lạm dụng cho các giao tiếp backdoor lén lút.
Điều này không có nghĩa là các nhà sản xuất trình duyệt không biết gì về vấn đề này. Ngay cả khi họ làm việc để thêm vào sự hỗ trợ cho các tiêu chuẩn mới, họ đang tìm cách để ngăn chặn sự lạm dụng của họ. Tại hội nghị chuyên đề Usenix, Stamm đã lưu ý một số kỹ thuật mà nhóm Firefox đang tìm kiếm để giảm thiểu thiệt hại có thể được thực hiện với những công nghệ mới này.
Ví dụ, họ đang làm việc trên một nền tảng plug-in thay thế, được gọi là JetPack, sẽ tiếp tục kiểm soát chặt chẽ hơn những hành động mà một trình cắm thêm có thể thực thi. "Nếu chúng tôi có toàn quyền kiểm soát [giao diện lập trình ứng dụng], chúng tôi có thể nói 'Tiện ích bổ sung này yêu cầu quyền truy cập vào Paypal.com, bạn có cho phép điều đó không?" "Stamm nói.
JetPack cũng có thể sử dụng một mô hình bảo mật khai báo, trong đó trình cắm thêm phải khai báo cho trình duyệt mỗi hành động mà nó dự định thực hiện. Trình duyệt sau đó sẽ giám sát trình cắm thêm để đảm bảo nó nằm trong các tham số này.
Tuy nhiên, liệu các nhà sản xuất trình duyệt có thể làm đủ để bảo đảm HTML5 vẫn còn để được nhìn thấy hay không, các nhà phê bình tranh luận. nó là giá trị các tính năng này để tung ra các trình duyệt mới, "Johnson nói. "Đây là một trong vài lần bạn có thể nghe" Bạn biết đấy, có thể [Internet Explorer] 6 tốt hơn. ""
Joab Jackson bao gồm phần mềm doanh nghiệp và tin tức công nghệ chung cho
Dịch vụ tin tức IDG. Theo dõi Joab trên Twitter tại @Joab_Jackson. Địa chỉ email của Joab là [email protected]
[ĐọC thêm: Điện thoại Android tốt nhất cho mọi ngân sách. Theo TRAI, quốc gia này đã thêm 9,22 triệu kết nối di động vào tháng 7 và 9,16 triệu kết nối khác vào tháng 8, để thu hút các thuê bao điện thoại di động mới, các nhà khai thác đã đưa ra các kế hoạch hấp dẫn cho các thuê bao. Các nhà khai thác này đang cố gắng giành được nhiều người đăng ký nhất có thể trước khi một bộ giấy phép dịch vụ di động mới giới thiệu dịch vụ vào đầu năm tới. Gupta cho biết, doanh thu trung bình trên mỗi người dùn
Mặc dù người dùng Ấn Độ dường như xem xét kết nối di động một điều cần thiết, họ sẵn sàng thỏa hiệp trên thiết bị cầm tay của họ. Trước đó, gần 45% thị trường thiết bị cầm tay là điện thoại di động thay thế, và dự báo trước đó dự kiến thị trường thay thế sẽ vượt qua 50% vào quý IV, theo Gupta. một đại lý bán lẻ điện thoại di động ở Bangalore cho biết. "Nếu người dùng thường thay thế thiết bị cầm tay bằng một chiếc điện thoại mới hơn và đắt hơn phiên bản, bây giờ họ có nhiều khả năng để mua một
Microsoft Bao gồm các vấn đề cơ bản với phần mềm bảo mật mới. Phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác. phần mềm chống vi-rút, Microsoft Security Essentials (MSE). Như tên gọi của nó, phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác, như Windows Live OneCare đã ngừng hoạt động của Microsoft và chỉ cung cấp sự bảo vệ cần thiết. có thể là tất cả những gì cần thiết. Window
Các nhà cung cấp bảo mật bên thứ ba đã xếp hàng để xen kẽ MSE là không đủ và slam Microsoft để ném trọng lượng độc quyền của nó xung quanh. Họ không thể thực sự có cả hai cách. Microsoft đã tạo ra một sản phẩm tốt và sự thống trị của nó đối với hệ điều hành PC là mối đe dọa cho ngành công nghiệp phần mềm bảo mật, hoặc MSE hút và họ không có gì phải lo lắng.
Mặc dù số lượng các cuộc tấn công mạng thành công do tin tặc Đông Á đưa ra chống lại các công ty và các tổ chức chính phủ trên khắp thế giới trong những năm gần đây, các nhà nghiên cứu bảo mật cho biết. Các nhà nghiên cứu bảo mật cho rằng, các tin tặc Đông Á thống trị các tiêu đề liên quan đến an ninh mạng trên khắp thế giới với sự xâm nhập cao và các mối đe dọa liên tục (APT), nó sẽ là một sai lầm để kết luận rằng những kẻ tấn công này là mối đe dọa hình sự lớn nhất hoặc duy nhất đối với Intern
"Sau khi tiến hành nghiên cứu sâu rộng về bản chất của khu vực Đông Á và Đông Âu, Trend Micro kết luận rằng tin tặc từ Khối Liên Xô trước đây là một mối đe dọa tinh vi và bí mật hơn so với các đối tác Đông Á nổi tiếng hơn, "Kellermann, người cho đến gần đây làm ủy viên Ủy ban An ninh mạng cho Tổng thống Hoa Kỳ thứ 44
