Rupture des nouvelles | Forum | Nouvelles BRITANNIQUES | Nouvelles des Etats-Unis | Nouvelles du monde | Nouvelles politiques | Nouvelles de Sci-Technologie | Nouvelles de guerre et de terrorisme | Nouvelles de sports | Multimédia | Placez la page d'accueil

Jeudi 7 août 2008

Par William Jackson | Une chose d'amusement au sujet du monde interactif du Web 2.0 est les programmes d'application temps réel que vous pouvez tirer profit, comme des instruments de Google.

 

Google décrit des instruments en tant que « objets miniatures qui offrent le contenu frais et dynamique qui peut être placé sur n'importe quelle page sur le Web. Ils sont libres et disponibles pour que vous ajoutiez à n'importe quelle page Web que vous posséder, » comprenant les propriétés personnalisées de Google telles que l'iGoogle et l'ordinateur de bureau de Google.

Cependant, une fonctionnalité fraîche de la personne peut être vulnérabilité d'une autre personne de sécurité.

« L'architecture est en ce moment fortement peu sûre, » a dit Tom Stracener, un analyste aîné avec la société de valeurs mobilières d'application Cenzic Inc. de Santa Clara, la Californie. « Il n'est pas clair à moi que des instruments de Google ont été adoptés d'une mode répandue, » mais ils sont employés par des personnes sans beaucoup de conscience ou d'expertise de sécurité. « L'environnement courant est à haut risque, » Stracener supplémentaire.

Stracener et consultant en matière Robert Hansen de sécurité - connu du monde en ligne en tant que « Rsnake » - ont démontré quelques exploits malveillantes pour des instruments, tels que le balayage gauche interne et les entailles de Javascript, à la conférence noire de sécurité de briefings du chapeau de cette semaine.

« Amour d'I étant sur le bord de saignement de ce qui vient après » dans le monde des menaces de sécurité, Stracener dit. Et un de la prochaine prochaine force de choses soit des instruments de « Gmalware » - optimisés pour le mal au lieu du bon.

Il y a des milliers d'instruments disponibles et la plupart d'entre eux tend à être de base et innofensive, comme des calendriers, des listes de to-do et des affichages de photo. En outre, il y a encore plus de demandes sérieuses d'accéder à des programmes financiers ou de faire des transactions en ligne. Ce secteur n'a pas décollé encore, mais Google offre des capitaux d'amorçage pour le développement des demandes transactionnelles de plateforme, selon Stracener.

Des « instruments de Google sont conçus avec une architecture ouverte de sorte que n'importe qui puisse les produire, » il ont dit. Il a appelé la vision « révolutionnaire de Google, » mais a dit que comme dans une grande partie du reste du monde en ligne, la fonctionnalité est favorisée avant sécurité. « Le résultat net est qu'à moins que vous regardiez le code d'un instrument, vous ne pouvez pas être sûr ce qu'il fait. »

Quelques exemples de ce qu'il pourrait faire ont été présentés pendant que les exploits de preuve-de-concept se développaient par Stracener et Hansen. Une des premières exploits de l'instrument de Stracener était un calendrier qui lirait le presse-papiers de l'utilisateur périodiquement et exporte les données. That one took advantage of an Internet Explorer 6 vulnerability that no longer is available.

Hansen developed a Gadget that would probe other Gadgets and steal information from them. Other Gadgets could be used to spider internal Web pages. There is one that could be used to perform cross-site request forgery, sending the user to a malicious page where malware could be uploaded or log-in credentials captured. A variation of this could log a user into an attacker’s account when logging onto a personalized iGoogle page.

“That’s a fairly significant privacy exposure,” Stracener said.

Google Gadget exploits have not been found in the wild, and Stracener and Hansen describe the attacks they demonstrated as largely theoretical because the exploits do not pose a great risk to sensitive information at this point. However, wider adoption of more powerful Gadgets could create more significant exposures.

Stracener said that although the current architecture is risky, Google is responding to reports of vulnerabilities. It could take a while to fix all of the problems, however. Although some fixes will be simple, others might require more fundamental changes in the architecture.

Have Your Say: Analyst: Beware of the Google Gadgets
Please read our posting guidelines before posting.
Alternatively you can discuss this report here.

RSS TrackBack URL

Name (required)

Mail (will not be published) (required)

Website

This entry was posted on Thursday, August 7th, 2008 at 10:00 pm and is filed under Web Development News . You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

ADVERTISEMENTS

SITE MAPS

7/7 Afghanistan Alternative-Energy Art BBC Big-Brother Bilderberg Biometrics Bush Censorship CIA Climate-Change Cover-Up Cults Culture Database-State David-Hicks David-Ray-Griffin Democrats Demos Drugs Education Entertainment Environmental News EU False-Flag FBI Fraud Free-Speech Freemasons G8 Globalization Guantanamo Health-News History ID-Cards Internet Iran Iraq Israel Law Marches MI5 MI6 Microsoft Military MoD Money Music NASA Neocons NSA Oil Pakistan Podcast Police-State Propaganda RFID RINF Rumsfeld Science Secrecy Security Slavery Space Sports Spying Stephen-Lendman Technology Terrorism Tony-Blair Torture TV UK-News UN USA- USA-News Video Voting war Warfare White-House Wolfowitz World-News Yahoo
2003 - 2005 Archives | 2005 - 2007 Archives | 2007 - 2008 Archives | Current Archives | Past Version