SCP tekniske problemer - spøk historie / historie fra SCP Foundation!
To Princeton University-akademikere har funnet en type kodingsfeil på flere fremtredende nettsteder som kan bringe personopplysninger i fare og i et alarmerende tilfelle, tøm en bankkonto.
Typen feil, som kalles forespørsler om forespørsel på stedet (CSRF), tillater en angriper å utføre handlinger på et nettsted på vegne av et offer som allerede er logget inn på nettstedet.
Feil i CSRF har i stor grad blitt ignorert av webutviklere på grunn av mangel på kunnskap, skrev William Zeller og Edward Felten, som forfatter et forskningsarkiv om sine funn.
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]Feilen ble funnet på nettsidene til The New York Times; ING Direct, en amerikansk sparebank; Googles YouTube; og MetaFilter, et bloggsider.
For å utnytte en CSRF-feil må en angriper opprette en spesiell nettside og lokke et offer for siden. Det ondsinnede nettstedet er kodet for å sende en forespørsel på tvers av nettsiden via offerets nettleser til et annet nettsted.
Dessverre er programmeringsspråket som støtter Internett, HTML, det enkelt å gjøre to typer forespørsler, som begge kan være som brukes til CSRF-angrep, skrev forfatterne.
Dette faktum peker på hvordan webutviklere presser programmeringshylsen til å designe webtjenester, men noen ganger med utilsiktede konsekvenser.
"Årsaken til CSRF og lignende sårbarheter ligger trolig i kompleksiteten i dagens webprotokoller og den gradvise utviklingen av Internett fra en datapresentasjonsfasilitet til en plattform for interaktive tjenester, "ifølge avisen.
Noen nettsteder angir en øktidentifikator, et informasjonsoppslag lagret i en informasjonskapsel, eller en datafil i nettleseren når en person logger på nettstedet. Sessionsidentifikatoren blir sjekket, for eksempel gjennom et online kjøp, for å bekrefte at nettleseren engasjert seg i transaksjonen.
Under et CSRF-angrep blir hackerens forespørsel sendt gjennom offerets nettleser. Nettstedet sjekker sesjonsidentifikatoren, men nettstedet kan ikke sjekke for å sikre at forespørselen kom fra den riktige personen.
CSRF-problemet på The New York Times-webområdet, ifølge forskerpapiret, tillater en angriper å skaffe seg e-postadressen til brukeren som er logget inn på nettstedet. Denne adressen kan da potensielt bli spammet.
Avisens nettsted har et verktøy som lar innloggede brukere sende en historie til noen andre. Hvis besøkt av offeret, sender hackers nettsted automatisk en kommando gjennom offerets nettleser for å sende en e-post fra papirets nettsted. Hvis e-postadressen for destinasjonen er den samme som hackeren, vil offerets e-postadresse bli avslørt.
Fra 24. september var feilen ikke løst, selv om forfatterne skrev at de varslet avisen i september 2007.
INGs problem hadde mer alarmerende konsekvenser. Zeller og Felten skrev CSRF-feilen tillot en ekstra konto som skulle opprettes på vegne av et offer. Også en angriper kan overføre et offers penger til egen brukerkonto. ING har siden løst problemet, skrev de.
På MetaFiles nettsted kunne en hacker få tak i personens passord. På YouTube kan et angrep legge til videoer til brukerens "favoritter" og sende vilkårlig melding på vegne av en bruker, blant andre handlinger. På begge sider har CSRF-problemene blitt løst.
Heldigvis er CSRF-feilene enkle å finne og enkle å fikse, som forfatterne gir tekniske detaljer i papiret. De har også opprettet en Firefox-tillegg som forsvarer seg mot visse typer CSRF-angrep.
Jeg har også funnet noen Tweeters som åpenbart har funnet sin stemme i dette nye mediet, og har en ball som skriver for det hver dag.
Riktig advarsel: Hvis du er fornærmet av grovt språk, vennligst ikke klikk gjennom til Twitter feeds Jeg har merket R-vurdert.
Manglene de har funnet representerer en alvorlig trussel mot nøyaktigheten og fullstendighet av wiretap-plater som brukes til både kriminell etterforskning og som bevis i rettssaken, sier forskerne i deres papir, som skal presenteres torsdag ved en datakonsessorkonferanse i Chicago.
Etterfølger tidligere arbeid på å unnvike analoge wiretap-enheter kalt Loopforskere, studerte Pennforskerne en dyp titt på de nyere tekniske standarder som ble brukt for å aktivere wiretapping på telekommunikasjonsbrytere. De fant at mens disse nyere enhetene trolig ikke lider av mange av de feilene de hadde funnet i loop extender verden, introduserer de nye feil. Faktisk kan det hende at wiretaps blir ubrukelig hvis forbindelsen mellom bryterne og rettshåndhevelsen blir overveldet med ubrukelig
Asus 2013-serien inneholder noen produkter vi har sett før, men nå har utgivelsesdatoer. Fremtredende blant dem: En alt-i-ett-kombinasjon med skrivebord / nettbrett som forsøker å slå sammen det beste fra to verdener.
LAS VEGAS-