نوشته‌شده در

یک کارشناس جستجوگر نشان داده است که چگونه دکمه برگشت کروم را می توان برای جاسوسی بر روی کاربران ربوده است

برای مدت زمان ناشناخته، مرورگر کروم دارای یک آسیب پذیری است که اجازه می دهد وب سایت های مخرب به عقب بر گردیم. این به تازگی توسط تاثیر قابل توجه توسط متخصص SEO متخصص دن پتروویچ از Dejan، شرکت بازاریابی اینترنتی استرالیا، نشان داده شده است. با توجه به افشای عمومی خود در وب سایت دژان، پتروویچ از یک حمله اثبات شده از مفهوم پیچیده استفاده کرد که شامل کد بهره برداری از وبسایت آزمایشی وی بود. او این سوء استفاده را با یک صفحه نتایج جستجوی موتور جعلی و جعل هویت وب سایت های موجود در آن نتایج ترکیب کرده است. این اجازه داد پتروویچ به جاسوسی از ترافیک کاربران به نسخه های جعلی از وب سایت رقبای خود. او قادر به ضبط حرکت موش، کلیک و تایپ کردن، در میان دیگر چیزها بود. نحوه ی این حمله، این بود که اولین کاربر کروم یک جستجوی مربوط به وب سایت پتروویچ را با استفاده از Google انجام داد. در بعضی موارد، این کاربر پس از آن به طور بالقوه بر روی وب سایت پتروویچ کلیک کند، که از یک سوء استفاده جاوا اسکریپت برای ربودن دکمه برگشت Chrome استفاده می کند. اگر کاربر با کلیک بر روی دکمه بازگشت در حالی که در وب سایت Petrovic، آنها را به یک نسخه جعلی از صفحه نتایج جستجو که آنها قبلا به سایت خود را از سایت هدایت شده است هدایت می شوند. در حقیقت بسیار دشوار است. در این صفحه نتایج جستجوی جعلی، پیوندهای به نسخه های جعلی وب سایت های رقیب پتروویچ، با استفاده از نام دامنه های مشابه پیوند داده شد. از آنجا که پتروویچ این نسخه های جعلی وب سایت های رقیب خود را کنترل می کرد، می توانست تمام ترافیک این سایت ها را جاسوسی کند. این شامل هر گونه اطلاعات وارد شده به فرم در آن وب سایت ها. اگر پتروویچ انگیزه داشت، می توانست هر کلمه عبور یا شماره کارت اعتباری وارد شده به این سایت ها را ثبت کند. مهم نیست که این سایت های جعل هویت از رمزگذاری SSL استفاده می کنند، زیرا سایت های خود را کنترل می کند و بنابراین می تواند داده های رمزگشایی را ضبط کند.

برخی از پتروویچ برای راه اندازی این وب سایت حمله به مفهوم معرفتی مورد انتقاد قرار داد. او قطعا پروتکل استاندارد صنعت را برای افشای مسئولیت آسیب پذیری ها به یک فروشنده دنبال نمی کند. به طور معمول، یک محقق امنیتی ابتدا به آسیب پذیری در مرورگر Chrome به طور مستقیم به گوگل، به جای جهان، به عنوان پتروویچ در وب سایت Dejan، کشف کرد. پتروویچ اعتراض خود را از طریق وب سایت دژان دفاع کرده و ادعا می کند که ما باید "بیشتر درباره کسانی که کارهای غیر اخلاقی را انجام می دهند و درباره آن حرف نزنیم، نگران باشیم".

آیا با روش های خود موافق هستید یا خیر، به یک حمله جالب که کاربران باید از آن آگاه باشند. دشوار است بگویم که اگر گوگل برای حل این مشکل به درستی عمل کند. حتی اگر گوگل این مسئله را حل نکند، هنوز می توانید از این حمله دفاع کنید. البته، اولین خط دفاع، این است که روی سایتهایی که مشکوک نیستند کلیک کنید. با استفاده از یک سرویس URL یا DNS فیلتر کردن مانند OpenDNS مطمئنا می تواند کمک کند، هرچند این نباید به طور کامل مورد استفاده قرار گیرد. امیدوارم با استفاده از عادات مرور دقیق، شما بر روی صفحه ای که حاوی این کد سوءاستفاده مخرب است، فرود نخواهید آمد. اگر شما انجام دهید، اگر هنوز هم هشدار می دهید، می توانید از خود دفاع کنید. در حمله پتروویچ، هنگامی که شما دکمه بازگشت را فشار می دهید، شما را به نسخه جعلی نتایج صفحه موتور جستجو گوگل ارسال می کند. این کار باید با مرور نوار آدرس مرورگر شما ساده باشد، تا ببینید آیا از google.com استفاده می کند. اگر نوار آدرس شما چیزی غیر از نام قانونی داشته باشد، مانند google [.] evil [.] com (براکت های وارد شده برای sanitization)، پس شما باید بلافاصله این برگه مرورگر را ببندید. شما به یک صفحه جعلی صفحه نتایج موتور جستجوی Google هدایت شده اید و می خواهید از آن خارج شوید.

متاسفانه، پتروویچ اولین کسی نیست که با دکمه بازگشت به مرورگر آشنا باشد. تعدادی از وب سایت های سایه دار با نکات و ترفندهای به اصطلاح جستجوگرها (بهینه سازی موتورهای جستجو) کد را منتشر کرده اند که توانایی ارسال یک بازدید کننده به یک وب سایت دلخواه هنگام استفاده از دکمه بازگشت است. این سایت های جنجالی به مدیران وب توصیه می کنند تا از این تکنیک ها به عنوان یک تلاش نهایی برای دریافت کاربر برای خرید چیزی استفاده کنند. این وضعیت غم انگیز است. این همچنین نشان می دهد که مرورگرها علاوه بر کروم نیز ممکن است به حملات مشابه آسیب پذیر باشند.

لازم به ذکر است که اگر شما در حال حاضر در یک وب سایت هستید که خدمت به کدهای مخرب را ارائه می دهد، ممکن است شما قبلا قربانی نوع دیگری از حمله باشید با دکمه برگشت کار کنید این امکان وجود دارد که اولین نشانه شما این باشد که دکمه بازگشت به شما جایی عجیب و غریب است. اما تا آن زمان شما می توانستید قربانی دیگری از نوع حمله باشید. اگر بعد از اینکه یک دکمه بازگشت به ربودن را تجربه کردید، رفتارهای غیر معمولی دیگری را در دستگاه خود مشاهده میکنید، بدترین را بدانید. ممکن است شما قبلا قربانی حمله بوده باشید.

پتروویچ اظهار داشت که وی معتقد است که «دستکاری دکمه برگشت در Chrome نباید در سال 2018 امکان پذیر باشد». او همچنین معتقد است که وب سایت های استفاده شده از این سوءاستفاده باید توسط Google شناسایی و مجازات شوند. اگر چنین وب سایت ها در نتایج جستجوی گوگل باقی بمانند، وی معتقد است که باید با یک اخطار نامه که ممکن است مضر باشد، برچسب گذاری شده است.

درباره جیمز گالاگر

جیمز گالاچر یک متفکر اخلاقی هکر، موسیقیدان و آنارشیسم فلسفی است. او یک تستر نفوذ با تجربه است، ارائه مشاوره شبیه سازی دشمن برای سازمان ها در سراسر ایالات متحده آمریکا جیمز به تازگی تکمیل 10 ماه زندگی اشباح در یک اتوبوس مدرسه تبدیل شده با خانواده اش، هک کردن به شبکه از بیابان. VPN Service "title =" VPN Service "/>
   

نوشته‌شده در

چرا مکس Schrems کارشناس محرمانه فورا شکایت GDPR را علیه گوگل و فیس بوک می کند و آیا او برنده خواهد شد؟


مقررات حفاظت کلی اطلاعات (GDPR) در هفته گذشته به اجرا در آمد. همانطور که ریک فالکویو در پست خود در این موضوع اشاره کرد، تاثیر آن به طور بالقوه بسیار زیاد است. GDPR در حال حاضر منجر به سیل (آزار دهنده) ایمیل از شرکت های مشتاق به ما در مورد سیاست حفظ حریم خصوصی به روز شده خود را و مسدود کردن بازدید کنندگان اتحادیه اروپا به برخی از سایت های مبتنی بر ایالات متحده و خدمات – یکی دیگر از دلایل استفاده از VPN. اما هنوز روشن نیست که آیا GDPR اساسا حریم خصوصی را در سراسر جهان تغییر خواهد داد یا به راحتی توسط اکثر شرکت های بزرگ اینترنتی که خارج از اتحادیه اروپا هستند نادیده گرفته شود. ما در مورد پیدا کردن فقط شش دقیقه پس از اجرای GDPR آغاز شد ، اداره حفاظت از اطلاعات اتریش دریافت شکایت اول تحت قانون جدید:

جدید مقررات حفاظت از اطلاعات عمومی (GDPR) که امروز در نیمه شب به اجرا در آمد قرار است کاربران را به انتخاب آزادانه برساند، آیا آنها موافق با استفاده از داده ها هستند یا خیر. احساس مخالف در صفحه نمایش بسیاری از کاربران پخش شد: تن از "جعبه رضایت" در اینترنت و یا در برنامه های کاربردی، اغلب همراه با تهدید، گسترش یافته است که خدمات دیگر نمی تواند مورد استفاده قرار گیرد، اگر کاربر موافقت نکند. در روز اول GDPR، noyb.eu تاکنون چهار شکایت علیه گوگل (آندروید)، فیس بوک، واتساپ و اینستاگرام را به رضایت اجباری داد

"رضایت اجباری" اشاره به عمل ارائه دو گزینه اساسی برای کاربران یک سرویس آنلاین: موافقت کنید که برای اهداف خدمت کردن تبلیغات ردیابی شود یا از سرویس خارج شود. بدیهی است که این موضوع تأثیری بر آن ندارد که کسانی که پشت سر حزب دمکرات کردستان دموکراتیک می خواستند تولید کنند. چهار شکایت از دادگاه می گوید که این عمل غیرقانونی است و با توجه به جریمه های بالقوه آن بالغ بر میلیارد دلار تحت GDPR است.

سازمان noyb.eu که "هیچ یک از کسب و کار شما" نیست – در پایان سال گذشته با استفاده از مخارج جمع آوری شده برای حمایت از کار خود راه اندازی شد. به طور خاص، هدف از استفاده از GDPR جدید برای نگه داشتن شرکت های اینترنتی قدرتمند برای حساب داشتن اگر آنها از حریم خصوصی کاربران خود را سوء استفاده می کند. این ممکن است به لطف یک قابلیت مهم جدید تحت GDPR برای گروه های فعال برای ارائه شکایات به نمایندگی از مصرف کنندگان.

نیروی محرکه پروژه noyb.eu، وکیل حقوق بشر اتریش Max Schrems است. اخبار حریم خصوصی آنلاین در حال حاضر در مورد او چندین بار نوشته شده است. او از سال 2013 به آنچه او به عنوان رفتار غریبه فیس بوک برای حفظ حریم خصوصی می بیند رسیدگی می کند. او احتمالا مشهور است که برای راه اندازی چالش قانونی چارچوب امن بندر که جریان اطلاعات شخصی را از اتحادیه اروپا به ایالات متحده کنترل می کند، شناخته شده است. در نتیجه شکایتش، Safe Harbor توسط بالاترین دادگاه اتحادیه اروپا، دادگاه عدالت اتحادیه اروپا (CJEU) قرار گرفت.

ایالات متحده و اتحادیه اروپا برای جایگزینی Safe Harbor، سیستم جدیدی به نام Privacy Shield را امضا کردند. اما بر اساس شوماز، طرح جدید به همان اندازه قدیمی است که ناقص است. مشکل اصلی این است که دسترسی به اطلاعات NSA از طریق شرکت های اینترنتی اینترنتی آمریکا به داده های شخصی اتحادیه اروپا است. به عنوان یک نتیجه، Schrems شکایت علیه چارچوب حریم خصوصی سپر شکایت کرد. این در حال حاضر به CJEU برای حاکمیت اشاره شده است، که در آن بسیاری از مفسران – و خود Schrems به طور طبیعی – انتظار نتیجه مشابهی را به مورد قبلی که منجر به بندر امن پرتاب شد

موارد CJEU هر دو با جریان اطلاعات شخصی در سراسر اقیانوس اطلس. GDPR فعالان حقوق دیجیتال را به طور مستقیم با استفاده از سلاح های بسیار قدرتمند تر برای مبارزه با استفاده از حریم خصوصی به کار می گیرد. همانطور که تقاضای تقریبا فوری شکایات او نشان می دهد، شرمز برای برخی از زمان ها آماده استفاده از الزامات جدید GDPR است. آنها محصول ناگهانی تمایل به چالش کشیدن شرکت های اینترنتی نیست، بلکه نتیجه تحقیقات و برنامه ریزی طولانی است. زن و شوهر که با این واقعیت است که Schrems در تقریبا هر پرونده حفظ حریم خصوصی او در دادگاه های مختلف در سراسر اروپا به ارمغان آورد، و فرض این است که او اهداف خود را به دلایل خوب را انتخاب کرده است، به منظور تنظیم سابقه قانونی قوی و که او شانس مناسبی برای برنده شدن دارد.

شرم همچنین با توجه به مقامات حفاظت از داده، جایی که او شکایات خود را ارائه کرده است تا حداکثر حمایت از او دریافت کند. به عنوان مثال، شکایت علیه سیستم عامل آندروید گوگل توسط اداره حفاظت از داده ها CNIL ثبت شده است. در سال 2015، CNIL به Google دستور داد تا نتایج جستجو را در سطح جهانی حذف کند یا جریمه بزرگی به دست آورد. بنابراین احتمال دارد که آن را با توجه به حرکت noyb.eu در برابر آندروید مشاهده کند. شرمز شکایت خود را در رابطه با اینستاگرام فیس بوک با کمیته حفظ حریم خصوصی بلژیک را مجبور کرد که فیس بوک را مجبور به ردیابی کاربران غیر فیس بوک در سال 2015 کند. همچنین شکایت علیه WhatsApp در هامبورگ، جایی که مقامات حفاظت از دادها در حال بررسی هر دو گوگل و فیس بوک بیش از دست زدن به حریم خصوصی کاربر.

سوال اصلی مطرح شده توسط چهار شکایت noyb.eu به طور گسترده ای یکسان است: شرکت های اینترنتی مجاز به محدود کردن گزینه های کاربر برای پذیرش ردیابی و تبلیغات و یا استفاده از خدمات در همه نیست ؟ این انتخاب شدید قطعا به نظر می رسد یک نمونه واضح از «رضایت اجباری» است که GDPR ممنوع می کند، زیرا تنها راه استفاده از سرویس این است که شرایط ارائه شده را قبول کنید، حتا اگر منصفانه باشند. با این حال، مقابله با استدلال این است که شرکت ها باید حق تعیین شرایط برای کاربران خدمات خود را داشته باشند و هیچ کس مردم را مجبور به استفاده از سرویس نمی کند در صورتی که از شرایط ناراضی باشند.

اما ممکن است وجود داشته باشد راه های متوسط ​​که هر دو طرف را برآورده می کنند. به عنوان مثال، ردیابی مستقر می شود تا آگهی های بسیار هدفمند را خدمت کند: آیا آنها باید باشند؟ خطرات این تکنیک در رسوایی کمبریج آنالیتیکا مشخص شده است، جایی که ممکن است تبلیغات تبلیغاتی پرطرفدار برای تأثیرگذاری بر انتخابات مورد استفاده قرار گیرد. در حال حاضر، برخی از سایت ها به بازدیدکنندگان امکان عدم ردیابی و تبلیغات عمومی را ارائه می دهند. در عوض، معرفی GDPR ممکن است فشار نهایی مورد نیاز برای شرکت های آنلاین برای در نظر گرفتن شارژ برای خدمات خود، به جای بسته به تبلیغات. به عنوان مثال، واشنگتن پست در حال حاضر یک "حق بیمه عضویت در اتحادیه اروپا" است که وعده داده است "بدون تبلیغات در سایت و یا ردیابی آگهی های شخص ثالث"، بر خلاف دیگر، گزینه های ارزان تر. با توجه به بحران مالی برای رسانه ها امروزه، چنین تغییری نه تنها می تواند نیازهای GDPR را برآورده کند، بلکه همچنین کمک های مالی زیادی را برای خلاقیت آنلاین فراهم می کند.

حتی اگر Schrems در نهایت با این شکایت های اولیه شکست بخورد، او روشن کرده است که این فقط آغاز است:

شکایات مربوط به "رضایت اجباری" اولین اقدام سازمان جدیدی که noyb.eu است. مرکز حقوق دیجیتال قبلا برنامه های دیگری را درباره استفاده غیر قانونی از داده های کاربر برای اهداف تبلیغاتی یا «رضایت ساختگی» برنامه ریزی می کند.

علاوه بر این، دیگر سازمان های حقوق دیجیتال قصد دارند کمپین های خود را با استفاده از GDPR برنامه ریزی کنند. به عنوان مثال، گروه فرانسوی La Quadrature du Net شکایت های مربوط به حفظ حریم خصوصی CNIL را در مورد پنج شرکت اینترنتی برجسته ارسال کرده است: سه برای گوگل (Gmail، YouTube et search) و هر یک برای اپل، فیس بوک، آمازون و LinkedIn. بیشتر احتمال دارد که دنبالش بگردی در انگلستان، حریم شخصی بین المللی (PI) یک کمپین تحقیقاتی در مورد طیف وسیعی از شرکت های داده ای را تهیه کرده است که آن را "اکوسیستم داده های بسیار پنهان" می نامند – یک موضوع مهم که سال گذشته توسط "Privacy Online News" مورد بررسی قرار گرفت. همانطور که PI توضیح می دهد:

این اکوسیستم اطلاعات پنهان شامل هزاران مشتری غیرمستقیم از شرکت های داده ای مانند Acxiom، Criteo، Quantcast می باشد که مقدار زیادی از اطلاعات شخصی را جمع آوری و بهره برداری می کند. با استفاده از حقوق و تعهدات مندرج در قانون حفظ حریم خصوصی داده های جدید، کمپاین PI شامل تحقیقات در مورد انتخاب این شرکت ها می شود که مدل های کسب و کار آنها را تحت عنوان GDPR مطرح می کند.

پرتاب های مهم noyb.eu در مورد Google و فیس بوک فقط چند دقیقه پس از آن که GDPR به تصویب رسید، یک تظاهرات شگفت انگیز از این است که این منطقه در حال حرکت به سرعت است. اما برنامه های سازمان های دیگر برای استفاده از GDPR برای بررسی اینکه شرکت ها از اطلاعات شخصی چگونه به خوبی محافظت می کنند، نشان دهنده آن است که تلاش برای تماس با شرکت های قدرتمند به حساب می آید، بسیار گسترده تر از جنگ صلیبی یک نفر در برابر نقض حریم خصوصی جهانی است.

Glyn Moody

Glyn Moody یک روزنامه نگار آزاد است که درباره حریم خصوصی، نظارت، حقوق دیجیتال، منبع باز، کپی رایت، اختراعات و مسائل عمومی کلی مربوط به فن آوری دیجیتال است. او شروع به پوشش استفاده از اینترنت در سال 1994 کرد و اولین ویژگی اصلی در مورد لینوکس را که در اوت 1997 در Wired ظاهر شد، نوشت. کتاب او "Code Rebel Code" اولین و تنها تاریخ دقیق افزایش منبع باز است VPN Service "title =" VPN Service "/> در حال حاضر فعالیت های بعدی خود را،" Code of Life of Life "، به بررسی بیوانفورماتیک – تقاطع محاسبات با ژنومیک می پردازد.
   

نوشته‌شده در

پرکردن کارشناس حفظ 60.000 دلار قیمت هدف برای Bitcoin

آن شده است بسیار آرام آخر هفته برای cryptocurrencies عمده تا کنون به عنوان هفته نزولی که عمدتا با معامله حدود و سقوط در جلد در سراسر هیئت مدیره به پایان رسید. بسیاری از سکه های بالا به دست آوردن زمین آنها را در selloff شیب دار با تنها سکه Binance و VeChain نمایش معنادار شتاب صعودی در حال از دست داده نشد.

نسبتا قوی Ethereum EOS های موج دار شدن پایدار با ETH معلق در هوا در حدود 500 دلار باقی مانده، سطح EOS بازرگانی شمال پشتیبانی کلید 10 دلار با وجود مسائل فنی شبکه و ریپل در محدوده گیر زیر به طور گسترده ای به تماشای $0.54 سطح مقاومت. کل سرمایه بازار به عنوان flatlined Bitcoin و Ethereum تقریبا بدون تغییر 280 میلیارد دلار بوده است.

BTC/دلار 4 ساعته نمودار تجزیه و تحلیل

Bitcoin حق در کوتاه مدت سطح پشتیبانی نزدیک $6500، درست بالای آوریل کم با بسیار مهم بلند مدت پشتیبانی منطقه نزدیکی 5850 $ است حیاتی برای تمام بخش برگزاری تجارت است. سکه به وضوح در روند نزولی کوتاه مدت در حالی که همچنین نسبتا ضعیف در قاب زمان همه است. کف فروش کوتاه مدت حرکت خوانش، هم پاک می شوند و که می تواند نقطه به test پایین در روزهای آینده.

ETH/دلار 4 ساعته نمودار تجزیه و تحلیل

Ethereum نیز پاک خوانش کف فروش کوتاه مدت اما نتوانستند آن را به ترک مجاورت سطح حمایت/مقاومت 500 دلار. با وجود یک سکه مقاومت نسبی undoubted و راه اندازی بلند مدت هنوز هم صعودی سیگنال روند کوتاه مدت فروش باقی می ماند و روند کاهش دست نخورده است. در حالی که سرمایه گذاران می توانید به منابع آنها در selloffs کوتاه مدت معامله گران هنوز موقعیت های جدید را در اینجا، وارد کنید باید. مقاومت قوی است پیش بین 555 $ و $575، در حالی که حمایت آن $450، یافت می شود $400 و 380 دلار.

تقسیم Widens بین رهبران و Laggards

LTC/دلار 4 ساعته نمودار تجزیه و تحلیل

اگر چه سر به فلک کشید ارتباط کوتاه مدت در طول هفته گذشته کاهش واگرایی بین نسبتا قوی و ضعیف سکه های بیشتری رو تلفظ با امثال Litecoin داش، و شدت Monero عقب مانده بازار گسترده تر. Litecoin پس از شکست هفته گذشته در زیر سطح 100 دلار گیر کردم و به عنوان آن را برای نشان دادن قدرت نسبی در طول تعطیلات آخر هفته نشد آن را زیر الگوی پایه بلند مدت است. حمایت فوری که $90 اما جدید پایین در روزهای آینده است که کوتاه مدت روند نزولی غالب به باقی مانده است یافت می شود. 

BNB/USDT 4 ساعته نمودار تحلیل

به عنوان استنباط مثبت Binance سکه به قدرت نسبی است که آن برای چند هفته شده است نگه داشتن صعودی میان افول گسترده باقی مانده است. سکه ثبات دلگرم کننده است و این اوج تجمع خود با خروش امروز در حالی که داشتن فرصت خوب برای ازسرگیری روند صعودی آن حتی در حالی که دیگر بخش گسترده selloff پرش در نوسانات. دوباره می تواند نزدیک است.

در حال حاضر، بازار بین نیروهای صعودی و نزولی زده است و سرمایه گذاران باید تمرکز بر technicals BTC و ETH، در حالی که همچنین نگه داشتن چشم در رهبران تجمع نشانه هایی از قدرت sutained.

تصویر برجسته از Shutterstock

سلب مسئولیت: تحلیلگر صاحب cryptocurrencies. او دارای سرمایه گذاری در سکه ها موقعیت اما در کوتاه مدت و یا معامله در روز درگیر می کند و او را نگه ندارد موقعیت های کوتاه مدت را در هر یک از سکه ها.

فیلترشکن پرسرعت