Cloud Computing - Computer Science for Business Leaders 2016
Un chercheur en sécurité a révélé une faiblesse dans le navigateur Web Safari d'Apple qui pourrait être exploitée par un attaquant pour extraire des informations personnelles sensibles. La vulnérabilité de Safari est un peu plus sévère, mais le problème illustre les problèmes sous-jacents de sécurité et de confidentialité avec AutoFill en général.
Grossman suggère que le problème affecte tous les navigateurs construits sur le moteur WebKit open source y compris Safari sur Mac OS X et iOS, ainsi que sur le navigateur Google Chrome. Cependant, la validation de principe ne fonctionne pas sur la version la plus récente de Chrome et nécessite une intervention de l'utilisateur pour fonctionner sur iOS.
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]que cette faille de sécurité semble confinée - plus ou moins - au navigateur Web Safari fonctionnant sous Mac OS X. Mais, étant donné que Mac OS X ne représente que cinq pour cent du marché des systèmes d'exploitation et que tous les utilisateurs de Mac OS X sur Safari pour naviguer sur le Web, le problème a un impact potentiel relativement faible. Grossman souligne dans son article sur le hack Safari AutoFill, la différence entre les capacités AutoFill d'autres navigateurs ou systèmes d'exploitation, et ce problème particulier est Safari cédera des données sensibles à un attaquant utilisant un site Web malveillant "même s'il n'y a jamais été auparavant ou n'a saisi aucune information personnelle".
Le fait que le hack Safari puisse révéler des informations qui n'étaient pas auparavant saisies dans un champ donné en fait un plus sérieux iss ue, mais la réalité est que toutes les fonctionnalités AutoFill sur tous les navigateurs et systèmes d'exploitation représentent une préoccupation de sécurité et de confidentialité à un certain niveau. AutoFill est une fonctionnalité qui nécessite un échange de sécurité et de confidentialité au profit de la commodité.
L'AutoFill est conçu pour simplifier la vie en stockant les informations afin qu'elles puissent être saisies automatiquement la prochaine fois que vous en aurez besoin. Il est le plus souvent rencontré avec des données de formulaire où les utilisateurs remplissent des champs tels que nom, adresse, numéro de téléphone, adresse e-mail, etc. Une fois les données stockées dans AutoFill, la prochaine fois va révéler une liste des entrées stockées dans AutoFill, ou commençant à taper remplira l'entrée avec des informations de AutoFill qui correspond à ce qui est tapé.
De manière similaire à ce que Grossman utilise pour extraire des informations en utilisant le hack Safari AutoFill, un attaquant pourrait également extraire des informations qu'un utilisateur a stockées dans la fonction de remplissage automatique en créant un formulaire Web malveillant avec des champs communs et en testant de manière invisible chaque lettre de l'alphabet pour voir quelles sont les entrées AutoFill.
AutoFill peut également révéler des informations sensibles dans d'autres façons aussi. La fonctionnalité de remplissage automatique de la barre d'adresse du navigateur Web peut révéler les URL qui ont été visitées, et la fonctionnalité de saisie automatique dans des programmes tels que Microsoft Excel peut exposer des données ou des informations précédemment entrées dans d'autres champs. Remplir automatiquement et revenir à taper fastidieusement dans la même information chaque fois que le besoin s'en fait sentir. Je préconise cependant que les administrateurs informatiques et les utilisateurs en général comprennent que les mêmes fonctionnalités qui offrent un confort à l'utilisateur rendent également plus commode pour un attaquant d'enfreindre ou de compromettre les données qui y sont stockées.
Vous pouvez suivre Tony sur son
Page Facebook, ou contactez-le par courriel à [email protected]. Il tweete aussi @Tony_BradleyPCW.
Microsoft prend au sérieux les allégations selon lesquelles des partenaires commerciaux se livrent à des pots-de-vin pour obtenir des marchés publics dans trois pays en dehors des États-Unis, le Microsoft a pris mardi au sérieux les accusations selon lesquelles des partenaires commerciaux se seraient livrés à des pots-de-vin pour obtenir des marchés publics dans trois pays en dehors des Etats-Unis, a annoncé mardi le Wall Street Journal. la Securities and Exchange Commission des États-Unis enquê
[Lectures supplémentaires: Votre nouvel ordinateur a besoin de ces 15 programmes gratuits et excellents]
Fortify Software, une société privée basée à San Mateo en Californie, se spécialise dans les logiciels des problèmes dans le code pouvant entraîner des vulnérabilités logicielles, qui pourraient être exploitées par un attaquant, provoquant des problèmes tels qu'une violation de données.
HP a déclaré que l'expertise de Fortify dans l'analyse de sécurité des applications statiques viendrait compléter son analyse dynamique de sécurité applicative. Selon le site Web de Fortify, les tests de sécurité des applications statiques peuvent révéler des vulnérabilités lors du développement ou de l'assurance qualité d'un projet. Les tests dynamiques de sécurité applicative détectent les vulnérabilités dans une application active et évaluent la sécurité globale de l'application.
La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques
En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.