Vad betyder ordet tröst - utryck, synonymer och användning (textad)
Två akademiker i Princeton University har hittat en typ av kodningsfel på flera framstående webbplatser som kan äventyra personuppgifter och i ett oroväckande fall, tömma ett bankkonto.
Typ av fel, kallad begäran på begäran på begäran (CSRF) tillåter en angripare att utföra handlingar på en webbplats på uppdrag av ett offer som redan är inloggat på webbplatsen.
Fel i CSRF har i stor utsträckning ignorerats av webbutvecklare på grund av bristande kunskap, skrev William Zeller och Edward Felten, som författade ett forskningsblad om deras resultat.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]Felet hittades på The New York Times webbplatser. ING Direct, en amerikansk sparbank Googles YouTube; och MetaFilter, en bloggwebbplats.
För att kunna utnyttja en CSRF-fel måste en angripare skapa en speciell webbsida och locka ett offer till sidan. Den skadliga webbplatsen är kodad för att skicka en tvärsändningsförfrågan via offrets webbläsare till en annan webbplats.
Tyvärr är det programmeringsspråk som ligger till grund för Internet, HTML, enkelt att göra två typer av förfrågningar, vilka båda kan vara som används för CSRF-attacker, skrev författarna.
Det faktum pekar på hur webbutvecklare driver programkuvertet för att designa webbtjänster, men ibland med oavsiktliga konsekvenser.
"Grunden till CSRF och liknande sårbarheter ligger troligen i komplexiteten i dagens webbprotokoll och den gradvisa utvecklingen av webben från en datapresentationsanläggning till en plattform för interaktiva tjänster, "enligt papperet.
Vissa webbplatser ställer in en sessionidentifierare, en information som lagras i en kaka, eller en datafil i webbläsaren, när en person loggar in på webbplatsen. Sessionidentifieraren kontrolleras, till exempel, genom ett online-inköp, för att verifiera att webbläsaren engagerade i transaktionen.
Under en CSRF-attack skickas hackerens begäran genom offrets webbläsare. Webbplatsen kontrollerar sessionsidentifieraren, men webbplatsen kan inte kontrollera för att förfrågan kommer från rätt person.
CSRF-problemet på The New York Times webbplats, enligt forskningsdokumentet, tillåter en angripare att skaffa sig e-postadressen till användaren som är inloggad på webbplatsen. Den adressen kan då potentiellt spammas.
Tidnings webbplats har ett verktyg som låter inloggade användare e-posta en historia till någon annan. Om besökaren besöker offeret skickar hackarens webbplats automatiskt ett offer genom offerets webbläsare för att skicka ett e-postmeddelande från papprets webbplats. Om destinationsadressens e-postadress är densamma som hackaren kommer offrets e-postadress att avslöjas.
Den 24 september var felet inte löst, trots att författarna skrev att de anmälde tidningen i september 2007.
ING: s problem hade mer alarmerande konsekvenser. Zeller och Felten skrev CSRF-felet tillät ett extra konto som skulle skapas på uppdrag av ett offer. En angripare kan också överföra ett offrets pengar till eget konto. ING har sedan fixat problemet, skrev de.
På MetaFiles webbplats kunde en hacker få ett personlösenord. På YouTube kan en attack lägga till videor i en användares favoriter och skicka godtyckliga meddelanden på användarens vägnar, bland andra åtgärder. På båda sidorna har CSRF-problemen blivit fixade.
Lyckligtvis är CSRF-brister lätt att hitta och lätta att fixa, vilket författarna ger teknisk information i sitt papper. De har också skapat en Firefox-tillägg som försvarar vissa typer av CSRF-attacker.
För att göra detta har de utnyttjat ett fel i De digitala certifikat som används av webbplatser för att bevisa att de är vem de hävdar vara. Genom att utnyttja kända brister i MD5-hash-algoritmen som används för att skapa några av dessa certifikat, kunde forskarna hacka Verisigns certifikatmyndighet RapidSSL.com och skapa falska digitala certifikat för alla webbplatser på Internet.
Hashes används att skapa ett "fingeravtryck" för ett dokument, ett nummer som är avsett att identifiera ett visst dokument och enkelt beräknas för att verifiera att dokumentet inte har ändrats under transitering. MD5-hackningsalgoritmen är dock felaktig, vilket gör det möjligt att skapa två olika dokument som har samma hashvärde. Så här kan någon skapa ett certifikat för en phishing-webbplats som har samma fingeravtryck som certifikatet för den äkta sajten.
Taiwans AsusTek Computer har spelat en viktig roll för att definiera Netbook-datorns genre. Dess Asus Eee-modeller, tillsammans med konkurrerande mini-bärbara datorer som Acer Aspire ONE och Lenovo Ideapad, har visat sig populära bland konsumenterna som vill offra några funktioner - fullstort tangentbord, större skärm och en DVD-enhet för att namnge en få - för en mindre, lättare bärbar som är bra för e-post och webbläsning.
Men Asus kommer snart att bryta med netbooktraditionen genom att lansera en Eee-dator med en inbyggd optisk skivenhet (ODD). Enligt en DigiTimes-rapport från Taipei kommer den ODD-utrustade E1004DN-nätboken att ankomma nästa månad, följt av 1008HA i maj. E1004DN har en Intel Atom N280-processor, en GN40-chipset och en 120 GB hårddisk. Det finns inget ord ännu på skärmstorlek, men eftersom Asus redan har meddelat planer på att avbryta sina 7-tums och 8,9-tums Eee netbooks, är det säkert att E1004
Studier har visat att människor som spenderar mycket tid sitter framför sin dataskärm står högrisken för att möta allvarliga hälsofrågor. Jag, som en författare, måste spendera timmar med att stirra på min datorskärm. Så, det här är ibland oroligt för mig. Det sagt datorer har blivit vitala för våra liv, och så är det omöjligt att dumpa dem eller inte använda dem. Hur kan man undvika backaches, ångest och sömnlöshet och ögonsträckning orsakade på grund av långa timmar att stirra på datorer.
De flesta av dem kommer att rekommendera att träna regelbundet eller ta tvingade raster regelbundet - men hur många av oss gör det verkligen !? Så varför inte tillåta datorn att påminna oss och tvinga oss att ta en paus varje gång i taget? Det kan hjälpa oss mycket. Och vad händer om vi har ett gratis verktyg till hands som påminner oss om att ta sådana korta men välbehövliga pauser med jämna mellanrum?