Cross-Site Scripting Explained - Part 6: HTTPOnly Cookies
Το Twitter Twitter έχασε το Twitter, αυτή την Πέμπτη έχει οριστεί.
[Περισσότερες πληροφορίες: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows]
Twitter Clickjacking: "Μην κάνετε κλικ"
Το σφάλμα clickjacking Twitter δεν ήταν πραγματικά μια μεγάλη απειλή, φαίνεται, αλλά περισσότερο από μια μικρή ενόχληση. Εδώ είναι τι συνέβη: Κάποιος θα δημοσιεύσει ένα μήνυμα λέγοντας "Μην κάνετε κλικ", μαζί με μια διεύθυνση που έχει αποκαλυφθεί. Αν κάνατε κλικ στον σύνδεσμο, το ίδιο μήνυμα θα καταχωρήθηκε αυτόματα στο λογαριασμό σας στο Twitter. Ένας από τους φίλους σας, λοιπόν, θα καταλήξει να βλέπει το μήνυμά σας, να πάρει περίεργο και να κάνει κλικ πάνω του - δημιουργώντας έτσι ένα αποτέλεσμα ιογενούς εξάπλωσης.
"Μην κάνετε κλικ στην" καλή "αντίστροφη ψυχολογία καλύτερα. Μαντέψτε ότι τα πράγματα πραγματικά δουλεύουν. (Σημείωση για τον εαυτό σας: Ξεκινήστε την παράδοση τηλεφωνικού αριθμού σε ελκυστικές κυρίες με σημείωμα λέγοντας: "Μην καλέσετε.")
Η αλήθεια πίσω από το Tweeting
Τι συνέβαινε πραγματικά εδώ; Οι δροσερές γάτες στα εργαστήρια Sunlight λένε ότι ήταν όλα σχετικά με τα iframes. "Τι κάνει αυτός ο« ιός »είναι ότι δημιουργεί ένα iframe της σελίδας, το κρύβει και όταν κάνετε κλικ σε αυτό το κουμπί και συνδεθείτε στο Twitter, σας κάνει να δημοσιεύσετε αυτό το μήνυμα (ακόμα κι αν δεν το βλέπετε) "Ο διευθυντής του εργαστηρίου Sunlight Labs Clay Johnson εξηγεί στο blog του. "Δεν υπάρχει λίγη javascript που εμπλέκονται," λέει.
Μπορείτε να δείτε τον πλήρη κώδικα του σφάλματος που μεταφράζεται στα αγγλικά εδώ. Φυσικά, το μόνο που μπορείτε πραγματικά να κάνετε είναι να το διαβάσετε. Δεν θα λειτουργήσει πια.
Twitter Fixers
Η ομάδα του Twitter ήταν σε θέση να σταματήσει το bug σε λίγες ώρες. "Το θέμα" Μην κάνετε κλικ "+ σύνδεσμος είναι ένα hack" clickjacking "," Twitter CEO Evan Williams έγραψε περίπου στις 1:30 μ.μ. ET. "Δεν πρέπει να το κτυπήσετε, να το διορθώσετε τώρα", δήλωσε ο δικός του tweet.
Μέσα σε λίγα λεπτά, ο Μηχανικός Επιχειρήσεων John Adams - γνωστός στους οπαδούς ως "Netik", το χειριστήριό του στο Twitter - ανακοίνωσε ότι το ελάττωμα ήταν σταθερό.
"Επεκτάσαμε την επίθεση clickjacking« δεν κάνουμε κλικ »πριν από 10 λεπτά», σημείωσε. "Το πρόβλημα θα πρέπει να φύγει."
Το επίσημο blog του Twitter παρέχει τώρα λίγο περισσότερη διορατικότητα:
«Ευτυχώς, η ζημιά περιοριζόταν στη συνεχή αναμετάδοση του συνδέσμου, αλλά παίρνουμε πολύ σοβαρά κακόβουλες επιθέσεις στους χρήστες του Twitter και σήμερα το πρωί υποβάλαμε μια ενημερωμένη έκδοση που αποκλείει αυτή την τεχνική clickjacking. "
Whew. Τουλάχιστον μπορούμε να ξεκουραστούμε γνωρίζοντας ότι ο Hammer παρέμεινε ασφαλής από αυτό το πράγμα. Αυτός ο τύπος είναι πολύ νόμιμος για να κάνει κλικ.
Ο Robert Hansen και ο Jeremiah Grossman είχαν οριστεί να παραδώσουν τη συζήτησή τους την επόμενη εβδομάδα στο συνέδριο OWASP (Open Web Security Security Project) στη Νέα Υόρκη. Αλλά η απόδειξη του κώδικα έννοιας που είχαν αναπτύξει για να δείξει πώς η επίθεση clickjacking τους δούλεψε αποκάλυψε ένα σφάλμα σε ένα από τα προϊόντα της Adobe. Μετά από μια εβδομάδα συζητήσεων με την Adobe, οι ερευνητές αποφάσισαν την περασμένη Παρασκευή να βγάλουν τη συζήτηση.
Αν και οι Hansen και Gross
Σε μια επίθεση Clickjacking, ο εισβολέας κόβει το θύμα να κάνει κλικ σε κακόβουλες συνδέσεις στο Web χωρίς να το συνειδητοποιήσει. Αυτός ο τύπος επίθεσης είναι γνωστός εδώ και χρόνια, αλλά δεν θεωρήθηκε ιδιαίτερα επικίνδυνος. Οι εμπειρογνώμονες στον τομέα της ασφάλειας σκέφτονταν ότι θα μπορούσαν να χρησιμοποιηθούν για να διαπράξουν απάτη κλικ με διαφημίσεις ή να αυξήσουν τις αξιολογήσεις Digg για μια ιστοσελίδα, για παράδειγμα.
1. Το Twitter επιβεβαίωσε την επίθεση DOS την ίδια ημέρα με το Twitter και το Twitter που εξακολουθούν να αγωνίζονται για την ανάκαμψη από το DOS Attack ·: Οι ιστότοποι κοινωνικής δικτύωσης Το Facebook και το Twitter έκαναν ξυλοδαρμό αυτή την εβδομάδα, αφού και οι δύο υποβλήθηκαν σε επίθεση DOS. Το Twitter παρέμεινε για δύο ώρες την Πέμπτη και εξακολουθούσε να υποφέρει από τις επιθέσεις την Παρασκευή. Το Facebook ανέφερε ότι οι χρήστες είχαν πρόβλημα να έχουν πρόσβαση στην τοποθεσία την Πέμπτη,
2. Ο CEO της Google παραιτείται από το συμβούλιο της Apple: Η Google και η Apple γνώρισαν μια διαγραφή των τρόπων τη Δευτέρα, όταν ο CEO της Google Eric Schmidt παραιτήθηκε από το διοικητικό συμβούλιο της Apple. Η Schmidt και η εκτελεστική εξουσία της Apple, Steve Jobs, αποφάσισαν αμοιβαία, ανέφερε η Apple. Οι πρόοδοι της Google στους χώρους OS και κινητού τηλεφώνου την προσεγγίζουν πιο κοντά στις κύριες επιχειρήσεις της Apple, μειώνοντας την αποτελεσματικότητα του Schmidt στο διοικητικό συμβούλ
Η Microsoft προσπαθεί να αντιμετωπίσει ένα σφάλμα που προκαλεί τυχαίες επανεκκινήσεις για ορισμένους χρήστες Windows Phone 8. Δεν είναι ακόμα σαφές τι προκαλεί το πρόβλημα, αλλά η Microsoft ελπίζει ότι θα λάβει ενημερώσεις για τους χρήστες τον επόμενο μήνα.
Οι χρήστες των Windows Phone 8 smartphones που έγιναν από τη Nokia και την HTC παραπονέθηκαν ηλεκτρονικά τον Νοέμβριο ότι είδαν πολλές τυχαίες επανεκκινήσεις του τηλεφώνου τους ανά ημέρα. Τα φόρουμ της Microsoft έχουν εκατοντάδες χρήστες που αναφέρουν το πρόβλημα. Μεταξύ των συσκευών που επηρεάζονται είναι το κινητό τηλέφωνο Nokia 920 Windows Phone 8 και το HTC 8X.