Баасан гарагт otto-js судалгааны баг хэрэглэгчид Google Chrome-ийн үсгийн алдаа шалгах дэвшилтэт функцуудыг хэрхэн ашигладаг тухай нийтлэл нийтэлжээ. Microsoft Edge нь нууц үг болон хувийн мэдээллийг (PII) гуравдагч талын клоуд сервер рүү өөрийн мэдэлгүй дамжуулж болно. Энэхүү эмзэг байдал нь энгийн эцсийн хэрэглэгчийн хувийн мэдээллийг эрсдэлд оруулаад зогсохгүй байгууллагын захиргааны итгэмжлэл болон дэд бүтэцтэй холбоотой бусад мэдээллийг гадныханд хамгаалалтгүй үлдээж болно.
Энэ эмзэг байдлыг otto-js-ийн үүсгэн байгуулагч, техникийн захирал Жош Саммит компанийн скриптийн үйлдлийг илрүүлэх чадварыг турших явцад илрүүлсэн байна. Туршилтын явцад Самит болон otto-js багийнхан Chrome-ын сайжруулсан алдаа шалгагч эсвэл Edge-ийн MS Editor-ийн зөв хослол нь PII болон бусад нууц мэдээллийг агуулсан талбарын өгөгдлийг сервер рүү буцааж илгээх үед санамсаргүйгээр ил гаргасныг олж мэдсэн. Microsoft болон Google. Энэ хоёр функцийг идэвхжүүлэхийн тулд хэрэглэгчдээс тодорхой үйлдэл хийхийг шаарддаг бөгөөд үүнийг идэвхжүүлсний дараа хэрэглэгчид өөрсдийн өгөгдлийг гуравдагч этгээдтэй хуваалцаж байгааг мэддэггүй.
Талбайн өгөгдлөөс гадна otto-js баг хэрэглэгчийн нууц үгийг нууц үг харагч сонголтоор дамжуулан илрүүлж болохыг олж мэдсэн. Хэрэглэгчдэд нууц үгээ буруу оруулахаас зайлсхийхэд туслах энэхүү сонголт нь үсгийн алдаа шалгах дэвшилтэт функцээр дамжуулан гуравдагч талын серверүүдэд нууц үгийг санамсаргүйгээр ил гаргадаг.
Ганцхан хувь хэрэглэгчид эрсдэлд ордоггүй. Энэ эмзэг байдал нь байгууллагын итгэмжлэлийг зөвшөөрөлгүй гуравдагч этгээдэд халдаж болзошгүй. otto-js багийнхан үүлэн үйлчилгээ болон дэд бүтцийн бүртгэлд нэвтэрсэн хэрэглэгчид өөрийн итгэмжлэлээ сервер рүү хэрхэн дамжуулж болохыг харуулсан дараах жишээг үзүүлэв. Microsoft эсвэл Google.
Эхний зураг (дээрх) нь Alibaba Cloud данс руу нэвтрэх жишээг харуулж байна. Таныг Chrome-оор нэвтрэх үед зөв бичгийн алдаа шалгах дэвшилтэт функц нь администраторын зөвшөөрөлгүйгээр Google серверүүд рүү асуулгын мэдээллийг илгээдэг. Дэлгэцийн зургаас (доор) харж байгаагаар энэ мэдээлэлд компанийн үүлэн сүлжээнд нэвтрэхийн тулд оруулсан нууц үг багтсан болно. Энэ төрлийн мэдээлэлд хандах нь корпорацийн болон хэрэглэгчийн мэдээллийг хулгайлахаас эхлээд чухал дэд бүтцийг бүрэн сүйтгэх хүртэл бүх зүйлд хүргэж болзошгүй юм.
Otto-js баг нь сошиал медиа, оффисын хэрэгсэл, эрүүл мэнд, засгийн газар, цахим худалдаа, банк/санхүүгийн үйлчилгээнд чиглэсэн жишиг үзүүлэлтүүдэд туршилт, дүн шинжилгээ хийсэн. Туршилтанд хамрагдсан 96 хяналтын бүлгийн 30 гаруй хувь нь өгөгдлийг буцааж илгээсэн байна Microsoft болон Google. Туршилтанд хамрагдсан сайтууд болон бүлгүүдийн 73% нь сонголтыг сонгох үед гуравдагч талын сервер рүү нууц үг илгээсэн байна нууц үгийг харуулах. Нууц үг илгээгээгүй сайтууд болон үйлчилгээнүүдэд тийм боломж байгаагүй нууц үгийг харуулах мөн зохих ёсоор хамгаалагдсан байх албагүй.
otto-js багийнхан холбогдлоо Microsoft 365, Alibaba Cloud, Google Cloud, AWS, LastPass зэрэг нь байгууллагын хэрэглэгчдэд хамгийн их эрсдэл учруулдаг шилдэг таван сайт, үүлэн үйлчилгээ үзүүлэгч юм. Компанийн аюулгүй байдлын шинэчлэлтүүдийн дагуу AWS болон LastPass аль хэдийн хариу өгсөн бөгөөд асуудлыг амжилттай зассан гэж мэдэгджээ.
Та Украинд Оросын түрэмгийлэгчдийн эсрэг тэмцэхэд тусалж чадна. Үүнийг хийх хамгийн сайн арга бол Украины Зэвсэгт хүчинд мөнгө хандивлах явдал юм Амьдралыг аврах эсвэл албан ёсны хуудсаар дамжуулан NBU.
Мөн уншина уу:
Тайван бай, Firefox ашигла
+