Connect with us

technokrata

A blogolvasás rejtett veszélyei

A blogolvasás rejtett veszélyei

Dotkom

A blogolvasás rejtett veszélyei

Nem várt kockázatot rejt magában a webes naplók olvasása.

Az igen közkedvelt RSS (Really Simple Syndication) és az Atom formátumok egy eddig nem ismert biztonsági rést rejtenek magukban, nyilatkozta még a múlt hét végén Bob Auger, a webbiztonsággal foglalkozó SPDI Dynamics cég biztonsági mérnöke a Black Hat konferencián. Igaz, ennek kapcsán nem csak a blogot olvasók veszélyeztetettek, hanem minden olyan információforrást látogatók, akik a fenti két hírgyűjtő formátumot használják.

Az SPI Dynamics számos online és offline, RSS és Atom hírolvasásra használt alkalmazást vizsgált meg. Több esetben is úgy találták, hogy bármilyen Javascript kód átmehetett a hírolvasó rendszeren és eljuthatott a felhasználó PC-jéig, majd ott lefuthatott. Ezzel pedig támadhatóvá tette a személyi számítógépeket, mondta Auger, aki szerint az az oka mindennek, hogy az RSS-olvasó alkalmazásokat fejlesztők többsége nem fordított kellő figyelmet a biztonságosság ellenőrzésére. A hírekbe ágyazott Javascriptek futását például blokkolni kellene, fejtegette Auger.

Nem is kell más a hiba kihasználásához, mint egy ártó szándékkal létrehozott blog, illetve az, hogy az internetezőket meggyőzzék az adott oldalról való RSS-olvasásra való feliratkozásról. Ennél még nagyobb veszélyt jelent, hogy adott esetben egy megbízható blog kommentjei közé is felvihető ártalmas Javascript kód, egy egyszerű hozzászólással; így a webes napló tulajdonosának tudta nélkül válhatnak olvasói egy internetes támadás áldozatává.

Néhány, e tekintetben veszélyt jelentő blogot meg is említett Auger a bemutató során: a Bloglines, az RSS Reader, az RSS Owl, a Feed Demon és a Sharp Reader használata kockázatokat rejt magában. A sebezhetőség kiküszöbölését a hírolvasásra, -gyűjtésre használt alkalmazás cseréjével lehet elérni, mondta a szakértő.



Szólj hozzá!

Dotkom

A blogolvasás rejtett veszélyei

Nem várt kockázatot rejt magában a webes naplók olvasása.

Az igen közkedvelt RSS (Really Simple Syndication) és az Atom formátumok egy eddig nem ismert biztonsági rést rejtenek magukban, nyilatkozta még a múlt hét végén Bob Auger, a webbiztonsággal foglalkozó SPDI Dynamics cég biztonsági mérnöke a Black Hat konferencián. Igaz, ennek kapcsán nem csak a blogot olvasók veszélyeztetettek, hanem minden olyan információforrást látogatók, akik a fenti két hírgyűjtő formátumot használják.

Az SPI Dynamics számos online és offline, RSS és Atom hírolvasásra használt alkalmazást vizsgált meg. Több esetben is úgy találták, hogy bármilyen Javascript kód átmehetett a hírolvasó rendszeren és eljuthatott a felhasználó PC-jéig, majd ott lefuthatott. Ezzel pedig támadhatóvá tette a személyi számítógépeket, mondta Auger, aki szerint az az oka mindennek, hogy az RSS-olvasó alkalmazásokat fejlesztők többsége nem fordított kellő figyelmet a biztonságosság ellenőrzésére. A hírekbe ágyazott Javascriptek futását például blokkolni kellene, fejtegette Auger.

Nem is kell más a hiba kihasználásához, mint egy ártó szándékkal létrehozott blog, illetve az, hogy az internetezőket meggyőzzék az adott oldalról való RSS-olvasásra való feliratkozásról. Ennél még nagyobb veszélyt jelent, hogy adott esetben egy megbízható blog kommentjei közé is felvihető ártalmas Javascript kód, egy egyszerű hozzászólással; így a webes napló tulajdonosának tudta nélkül válhatnak olvasói egy internetes támadás áldozatává.

Néhány, e tekintetben veszélyt jelentő blogot meg is említett Auger a bemutató során: a Bloglines, az RSS Reader, az RSS Owl, a Feed Demon és a Sharp Reader használata kockázatokat rejt magában. A sebezhetőség kiküszöbölését a hírolvasásra, -gyűjtésre használt alkalmazás cseréjével lehet elérni, mondta a szakértő.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd
the_english_surgeon_534448a

Alkalmazások, szoftverek

Idegesek leszünk, ha nem tölt fel elég gyorsan a selfie?

2017. február 27. hétfő