日语辅导热招
您的位置:外语教育网 > 日语 > 文化娱乐 > 正文

日语报刊选读115

2006-07-13 21:23   我要纠错 | 打印 | 收藏 | | |

  セキュリティ·ベンダーのデンマークSecuniaなどは6月30日,Internet Explorer(IE)に見つかったセキュリティ·ホールを公表した。Webページに細工を施すと,フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させることが可能となる。つまり,細工が施されたページにIEでアクセスすると,悪意のあるコンテンツが埋め込まれた有名企業のWeb ページを表示させられる可能性がある。

  “フィッシング(メールを使った詐欺)”などに悪用可能なセキュリティ·ホールである。パッチは未公開なので,「信頼できないページにアクセスしない」「別のブラウザを使う」ことなどが対策となる。

  セキュリティ·ホールの発見者である「http-equiv」は,このセキュリティ·ホールを検証するためのデモを公開している。デモ·ページにIEでアクセスすると,Windows Updateのページが表示されるが,フレームのひとつには米Microsoftとは無関係のサイトのページが表示される。

  アドレス·バーを含めたWindows Updateの表示部分は,Microsoftが用意する“本物”のページである。今回のセキュリティ·ホールを突くようなページにIEでアクセスすると,そのページで指定したページ(デモでは「windowsupdate.microsoft.com」)のフレームに,同じくそのページで指定した別サイトのページ(デモでは「malware.com」)を埋め込んだ形で表示させられるのである。

  もちろん,IEの仕様ではこのようなことは許可していない。もし許せば,悪意のあるコンテンツ(例えば,個人情報を入力させて盗むようなコンテンツ)を,有名企業のページの一部に見せかけることが可能になってしまうからだ。1998年には,同じようなセキュリティ·ホールがIE 3.x/4.x に見つかったために,Microsoftはパッチを公開した。ところが,IE 5.x/6.x には依然存在するのである。このためSecuniaでは,「6 year old vulnerability」と記述している。

  当然のことながら,例えば「windowsupdate.microsoft.com」にアクセスした際に,悪意のあるコンテンツがフレームに埋め込まれて表示されるようなことはない。細工を施した悪意のあるページにアクセスした場合のみ,「有名企業のコンテンツ+悪意のあるコンテンツ」が同じ画面上に表示されるのである。このため,「怪しいページにアクセスしない/怪しいリンクをクリックしない」ことが対策となる。Secuniaでは,IE以外のブラウザを使うことも対策として挙げている。

  オンライン詐欺に悪用できる危険なセキュリティ·ホールである。IEユーザーは十分注意してほしい。

  译文对照:

  丹麦安全销售商Secunia等于6月30日公开了在Internet Explorer(IE)中发现的安全漏洞(英文)。如果在Web网页中做手脚,可能在使用框架的任意Web内容中显示任意内容。也就是说,如果使用IE 访问被做过手脚的网页,可能会显示嵌入恶意内容的著名企业的Web网页。

  这是一个可以恶意使用“Phishing(使用邮件进行欺诈)”等的安全漏洞,由于补丁尚未公开,因此对策为“不要访问不可靠的网页”、“使用其他浏览器”等。

  安全漏洞的发现者“http-equiv”公开了验证这一安全漏洞的示范。在示范网页中通过使用IE访问后,虽然显示Windows Update的页面,但其中一个框架却显示了与美国微软毫无关系的网页。

  在包括地址栏的Windows Update显示部分,是微软的“真正”网页。在突破此次安全漏洞的网页中通过IE访问后,在该网页指定的网页(示范中为 “windowsupdate.microsoft.com”)的框架中,嵌入了该网页指定的其他网站的网页(示范中为“malware.com”)。

  当然,IE的设置是不允许发生这种情况的。因为如果允许,就可以把带有恶意的内容(比如让人输入个人信息进行窃取的内容)伪装成著名企业网页的部分内容。由于1998年曾在IE 3.x/4.x中发现过同样的安全漏洞,微软已公开了补丁(英文)。但该漏洞仍然存在于IE 5.x/6.x中,因此被Secunia形容为“6 year old vulnerability”。

  当然,在访问“windowsupdate.microsoft.com”时,不会在框架里嵌入带有恶意的内容并显示出来。只有访问被做过手脚带有恶意的网页时,才会在同一页面上显示“著名企业的内容+带有恶意的内容”。因此,可以采取“不访问可疑网页,不点击可疑链接”的对策。Secunia提出的另一对策是使用IE之外的浏览器。

  这是一个可被在线欺诈恶意利用的危险安全漏洞。IE用户务必提高警惕!

  上一篇:  日语报刊选读113

  下一篇:  日语报刊选读114

相关资讯:
网站导航:
 四六级 指南 动态 经验 试题 资料  托福 指南 动态 经验 留学 备考
 雅思 指南 动态 机经 经验 辅导  公共英语 指南 动态 备考 试题 辅导
 日语 就业 辅导 留学 考试 报考  法语 资料 文化 考试 留学 辅导
 韩语 入门 口语 阅读 留学 文化  西语 辅导 资料 考试 留学 风采
日语0-N2 级直通车 系统讲解考点,轻松应对考试
课时数:20课时
日本语能力测试N1 解读命题特点,稳步提升能力
课时数:20课时
日本语能力测试N2 解题命题精髓,成功征服考试
课时数:15课时
日本语能力测试N3 揭秘答题技巧,直达高分成绩
课时数:15课时
日本语能力测试N4 剖析做题技巧,全面提升能力
课时数:6课时
日本语能力测试N5 提炼考试精华,逐步精通日语
课时数:3课时

外语教育网(www.for68.com)是北京东大正保科技有限公司(CDEL)旗下一家大型外语远程教育网站,正保科技成立于2005年7月,是国内超大型外语远程教育基地,上榜“北京优质教育资源榜”--“百万读者推崇的网络教育机构”。


公司凭借雄厚的师资力量、先进的网络视频多媒体课件技术、严谨细致的教学作风、灵活多样的教学方式,为学员提供完整、优化的外语课程,既打破了传统面授的诸多限制,发挥了网络教育的优势,也兼顾面授的答疑与互动特点,为我国培养了大量优秀的外语人才。


为了满足学员学习不同语种、不同阶段的学习需求,网站开设了包括考试英语、行业英语、实用口语以及小语种在内的百余门语言学习课程,涵盖英语、日语、韩语、俄语、德语、法语、西班牙语、意大利语、阿拉伯语等主要语种,供学员自由选择。此外,网站还拥有各类外语专业信息和考试信息20余万条,是广大学员了解外语类考试最新政策、动态及参加各语种培训的优质网站。


北京东大正保科技有限公司成立于2000年,是一家具备网络教育资质、经教育部批准开展远程教育的专业公司,为北京市高新技术企业、中国十大教育集团、联合国教科文组织技术与职业教育培训在中国的唯一试点项目。


公司下属13家行业远程教育网站,业务涵盖了会计、法律、医学、建设、自考、成考、考研、中小学、外语、信息技术、汉语言教学等诸多领域,拥有办公面积8000多平米,员工近千人,公司年招生规模达270万人。由于正保远程教育(China Distance Education Holdings Ltd., CDEL)在中国互联网远程教育行业内的绝对优势和强大影响力,正保教育模式一直被广大投资人所追捧。2008年7月30日,公司在美国纽约证券交易所正式挂牌上市(股票交易代码:DL),是2008年唯一一家在美国纽交所上市的专业从事互联网远程教育的中国企业。


版权声明
   1、凡本网注明 “来源:外语教育网”的所有作品,版权均属外语教育网所有,未经本网授权不得转载、链接、转贴或以其他方式使用;已经本网授权的,应在授权范围内使用,且必须注明“来源:外语教育网”。违反上述声明者,本网将追究其法律责任。
  2、本网部分资料为网上搜集转载,均尽力标明作者和出处。对于本网刊载作品涉及版权等问题的,请作者与本网站联系,本网站核实确认后会尽快予以处理。
  本网转载之作品,并不意味着认同该作品的观点或真实性。如其他媒体、网站或个人转载使用,请与著作权人联系,并自负法律责任。
  3、本网站欢迎积极投稿
  4、联系方式:
编辑信箱:for68@chinaacc.com
电话:010-82319999-2371