11 SECRETS DE TÉLÉPHONE INCROYABLES (Codes & Astuces Android et iPhone)
Deux universitaires de l'Université de Princeton ont découvert un type de faille de codage sur plusieurs sites Web importants qui pourrait compromettre les données personnelles et, dans un cas alarmant, drainer un compte bancaire.
Le type de faille (CSRF), permet à un attaquant d'effectuer des actions sur un site Web pour le compte d'une victime déjà connectée au site.
Les failles CSRF ont été largement ignorées par les développeurs Web en raison d'un manque de connaissances, écrit William Zeller et Edward Felten, auteur d'un document de recherche sur leurs découvertes
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]La faille a été trouvée sur les sites Web du New York Times; ING Direct, une banque d'épargne américaine; YouTube de Google; et MetaFilter, un site de blogs.
Pour exploiter une faille CSRF, un attaquant doit créer une page Web spéciale et attirer une victime vers la page. Le site Web malveillant est codé pour envoyer une demande inter-sites via le navigateur de la victime sur un autre site.
Malheureusement, le langage de programmation qui sous-tend Internet, le HTML, facilite le traitement de deux types de demandes.
Ce fait montre à quel point les développeurs Web poussent l'enveloppe de programmation à concevoir des services Web, mais parfois avec des conséquences inattendues.
"La cause première de CSRF et de vulnérabilités similaires réside probablement dans les complexités des protocoles Web actuels et l'évolution progressive du Web d'une plate-forme de présentation de données à une plate-forme de services interactifs », selon l'article.
Certains sites Web définissent un identifiant de session, une information stockée dans un cookie, ou un fichier de données dans le navigateur, lorsqu'une personne se connecte au site. L'identifiant de session est vérifié, par exemple, tout au long d'un achat en ligne, pour vérifier que le navigateur est engagé dans la transaction.
Lors d'une attaque CSRF, la requête du pirate est transmise par le navigateur de la victime. Le site Web vérifie l'identificateur de session, mais le site ne peut pas vérifier que la requête provient de la bonne personne.
Le problème CSRF sur le site Web du New York Times, selon le document de recherche, permet à un attaquant d'obtenir l'adresse e-mail de l'utilisateur connecté au site. Cette adresse pourrait alors être spammée.
Le site Web du journal dispose d'un outil qui permet aux utilisateurs connectés d'envoyer un article par e-mail à quelqu'un d'autre. En cas de visite de la victime, le site Web du pirate envoie automatiquement une commande via le navigateur de la victime pour envoyer un courrier électronique à partir du site Web du document. Si l'adresse e-mail de la destination est la même que celle du pirate, l'adresse e-mail de la victime sera révélée.
Au 24 septembre, la faille n'avait pas été corrigée, bien que les auteurs aient écrit avoir notifié le journal en septembre 2007.
Le problème d'ING a eu des conséquences plus alarmantes. Zeller et Felten ont écrit que la faille CSRF permettait de créer un compte supplémentaire pour le compte d'une victime. En outre, un attaquant pourrait transférer l'argent de la victime dans son propre compte. ING a depuis résolu le problème, écrivaient-ils.
Sur le site Web de MetaFile, un pirate pouvait obtenir le mot de passe d'une personne. Sur YouTube, une attaque pourrait ajouter des vidéos aux «favoris» d'un utilisateur et envoyer des messages arbitraires au nom d'un utilisateur, entre autres actions. Sur les deux sites, les problèmes CSRF ont été corrigés.
Heureusement, les failles CSRF sont faciles à trouver et à corriger, ce que les auteurs donnent dans leur document technique. Ils ont également créé un add-on Firefox qui protège contre certains types d'attaques CSRF.
Les fabricants d'écrans LCD ont regretté leur participation à un système de fixation des prix. Les fabricants d'écrans LCD asiatiques condamnés par le ministère américain de la Justice ont regretté les plans de fixation des prix qui ont conduit à des amendes de 585 millions de dollars.
Les sociétés Sharp du Japon, LG Display de Corée du Sud et Chunghwa Picture Tubes de Taïwan, plaide coupable à la fixation des prix sur les écrans LCD, la partie la plus coûteuse des écrans d'ordinateurs, d'ordinateurs portables, de téléviseurs LCD et de téléphones portables.
Microsoft profite en vendant des publicités en ligne sur son moteur de recherche à des gangs criminels gérant des sites Web pharmaceutiques offrant des médicaments Selon une nouvelle étude, Microsoft vend des publicités en ligne sur son moteur de recherche à des gangs criminels qui gèrent des sites Web pharmaceutiques offrant des médicaments à des personnes sans ordonnance adéquate.
Environ 89,7% des Selon le rapport, les pharmacies qui paient des publicités sur le dernier moteur de recherche de la société, Bing.com, sont frauduleuses ou se livrent à des activités illégales. KnujOn, une compagnie antispam, et LegitScript, qui offre un service qui vérifie la légitimité de certaines pharmacies en ligne, ont publié le rapport.
Orange lance le premier service de téléphonie mobile au monde offrant une qualité sonore améliorée grâce à une meilleure technologie de codage de la parole Orange annonce le lancement de ce qu'il considère être le premier service de téléphonie mobile au monde offrant une qualité sonore améliorée grâce à la technologie de codage de la parole AMR-WB (Adaptive Multi Rate-Wideband), a annoncé jeudi.
La technologie rend ce que Orange appelle la voix HD possible, et offrira une qualité sonore comparable à la radio FM, selon Tom Wright, un porte-parole d'Orange. Le côté des données des réseaux mobiles a connu de grandes améliorations au cours des dernières années, mais la qualité de la voix est restée la même jusqu'à présent, at-il dit.