Cumpărăturile online, noua țintă a hackerilor
Cuprins:
- Mai puține invitații pentru hackeri
- Totuși, acest lucru nu înseamnă că nu este predispus la vulnerabilități, a spus el. "Dacă noi funcționalități au fost adăugate în browser sau cititorul PDF devine altfel privilegiat în browser, atunci poate fi vulnerabil și poate deveni un vector nou pentru a exploata aceste vulnerabilități în browser."
O componentă integrată PDF viewer bazată pe tehnologii Web JavaScript și HTML5 a fost adăugată versiunii beta of Firefox 19, a declarat Mozilla vineri
Producătorul de browsere a descris browserul încorporat PDF ca fiind mai sigur și mai sigur decât plug-in-urile de vizualizare PDF, cum ar fi cele instalate de Adobe Reader sau Foxit Reader. Cu toate acestea, mai mulți experți în securitate au remarcat că, probabil, nu vor fi lipsiți de vulnerabilități.
"De câțiva ani au existat mai multe pluginuri pentru vizualizarea fișierelor PDF în Firefox", a declarat Bill Walker, inginer Mozilla Engineering și Brendan Dahl, Vineri într-un post de blog. "Multe dintre aceste plugin-uri vin cu codul sursă închis propriu-zis, care ar putea expune utilizatorii la vulnerabilități de securitate. Plugin-urile de vizualizare PDF vin, de asemenea, cu cod suplimentar pentru a face multe lucruri pe care Firefox le face bine fără cod de proprietate, cum ar fi desenarea de imagini și text.
Vizualizatorul PDF încorporat în curs de testare provine dintr-un proiect Mozilla Labs numit PDF.js. "Proiectul PDF.js arată clar că HTML5 și JavaScript sunt acum suficient de puternice pentru a crea aplicații care ar fi putut fi create doar ca aplicații native", au spus inginerii de software Mozilla. "Nu numai că majoritatea PDF-urilor se încarcă și redă rapid, rulează în siguranță și au o interfață care se simte acasă în browser."
Deoarece vizualizatorul folosește API standard HTML5 (interfețe de programare a aplicațiilor), poate rula și în diferite browsere și pe diferite platforme, cum ar fi tabletele și telefoanele mobile. Un demo live al vizualizatorului care rulează ca aplicație Web este disponibil pe site-ul PDF.js.
"Vizualizatorul alimentat PDF.js din Firefox Beta este primul pas pentru a deveni o caracteristică complet integrată în versiunea lansată a Firefox astfel încât beneficiile sale pot fi obținute de toți utilizatorii Firefox ", a spus inginerii de software Mozilla.
Mozilla nu a clarificat dacă acest vizualizator va fi utilizat în mod implicit chiar și în cazul în care este instalat un plug-in de vizualizare PDF de la terți. Compania nu a răspuns imediat la o solicitare de comentariu.
Mai puține invitații pentru hackeri
Experții în securitate consideră că vizualizatorul încorporat PDF va oferi mai multă siguranță pentru utilizatori, dar nu neapărat pentru că nu va fi predispus vulnerabilități ca plug-in-uri de examinare PDF ale terților sunt
. O astfel de implementare ar putea oferi mai multă siguranță utilizatorului final deoarece baza de utilizatori va fi mai mică decât cea a Adobe Reader, iar infractorii cibernetici vor continua să se concentreze asupra exploatării celor mai populare bucăți de software, Stefan Tanase, cercetător senior în domeniul securității la vânzătorul antivirus Kaspersky Lab, a declarat prin e-mail. "În timp ce sunt încântat să văd că Firefox acordă o atenție sporită securității utilizatorilor, ceea ce mă îngrijorează este că și tehnologiile pe care se bazează PDF.js pot fi vulnerabile".
Tanase a subliniat că vulnerabilitățile din browser-ul JavaScript motoarele de randare nu sunt mai puțin frecvente. De exemplu, a subliniat CVE-2013-0750, o vulnerabilitate la executarea codului la distanță fixată în Firefox 18 cu câteva zile în urmă. Vulnerabilitatea provine dintr-o eroare în modul în care browserul calculează lungimea pentru concatenarea șirului JavaScript.
Această vulnerabilitate nu este excepția, ci mai degrabă regula, a spus Tanase. "Acelea similare sunt descoperite în fiecare an, în majoritatea versiunilor de produse și toate pot fi utilizate de către atacatori pentru a rula cod și a instala software, fără a necesita interacțiuni cu utilizatorul dincolo de răsfoirea normală".
Această componentă de vizualizare PDF poate fi mai sigură decât a treia - plug-in-uri pentru părți, dacă este scris în întregime în JavaScript / HTML5, Thomas Kristensen, ofițer de securitate general la Secunia,Problemele de securitate rămân
Totuși, acest lucru nu înseamnă că nu este predispus la vulnerabilități, a spus el. "Dacă noi funcționalități au fost adăugate în browser sau cititorul PDF devine altfel privilegiat în browser, atunci poate fi vulnerabil și poate deveni un vector nou pentru a exploata aceste vulnerabilități în browser."
"Din punct de vedere tehnic, găsesc este foarte interesant faptul că ei creează un vizualizator PDF care utilizează capabilitățile existente ale browserului ", a spus Carsten Eiram, directorul departamentului de cercetare la firma de consultanță pentru securitate Risk Based Security, a spus prin e-mail. "Din moment ce browserele sunt acum atât de avansate, cu ajutorul suportului HTML5 și JavaScript, încât pot parse fișiere PDF, ar putea face ca un vizualizator PDF separat să fie inutil pentru majoritatea utilizatorilor, care au nevoie doar de capabilități de vizualizare în format PDF."
codul este pe un sistem, cu atât este mai puțin expusă atacurilor potențiale, a spus Eiram. Folosind această componentă încorporată în PDF, în loc să instalezi o aplicație separată de cititoare PDF care adesea include caracteristici pe care mulți utilizatori nu au nevoie într-adevăr și care pot fi vulnerabili, reduce suprafața generală de atac a sistemului, a spus el. cu această teorie. "Există un beneficiu clar pentru utilizarea aceluiași motor de redare atât pentru paginile Web cât și pentru PDF-uri, care trebuie subliniat: baza de cod este mai mică, prin urmare, suprafața de atac și riscul potențial sunt reduse", a spus el. va ajunge la cât de solide sunt implementările JavaScript și HTML5 în browser. "M-aș aștepta ca orice vulnerabilitate din aceste implementări să afecteze și vizualizatorul PDF", a afirmat el.
Din fericire, în cazul în care se constată astfel de vulnerabilități, sarcina de a le remedia revine furnizorului de browsere. Producătorii de browsere, în special Mozilla și Google, au un istoric foarte bun de gestionare a vulnerabilităților și au avut în trecut mai bune mecanisme de actualizare decât furnizorii de plug-in-uri terță parte, a spus Tanase.
Securitatea, securitatea și securitatea
ȘTirile privind securitatea au dominat săptămâna aceasta și, fără îndoială, ...
Utilizatorii din India vor putea acum să acceseze informații despre afacerile locale și serviciile prin intermediul site-urilor Web Yahoo, cum ar fi Yahoo Local - și, de asemenea, prin telefon prin serviciul Call Ezee oferit de INMAC, a declarat Keith Nilsson, senior vice president și șef al piețelor emergente la Yahoo. Yahoo, de asemenea, intenționează să privească alte modalități de integrare a modelelor de afaceri ale INMAC și Yahoo, a declarat Nilsson.
Yahoo nu a dezvăluit cât de mult a plătit pentru participația la INMAC. Acordul reprezintă reprezentarea Yahoo în cadrul companiei, a spus compania. Yahoo are, de asemenea, un acord de împărțire a veniturilor cu INMAC, a declarat Nilsson.
Ce este recuperarea prin e-mail și răsturnarea prin e-mail? Această postare explică ce este recuperarea prin e-mail și e-mailul și cum puteți face pași pentru a preveni acest lucru.
E-mail Harvesting folosește Harvesting Bots pentru a obține coduri de e-mail en masse din surse online - deși se folosesc și surse offline. Acest post se referă la