日语辅导热招
您的位置:外语教育网 > 日语 > 文化娱乐 > 正文

日语报刊选读115

2006-07-13 21:23   我要纠错 | 打印 | 收藏 | | |

  セキュリティ·ベンダーのデンマークSecuniaなどは6月30日,Internet Explorer(IE)に見つかったセキュリティ·ホールを公表した。Webページに細工を施すと,フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させることが可能となる。つまり,細工が施されたページにIEでアクセスすると,悪意のあるコンテンツが埋め込まれた有名企業のWeb ページを表示させられる可能性がある。

  “フィッシング(メールを使った詐欺)”などに悪用可能なセキュリティ·ホールである。パッチは未公開なので,「信頼できないページにアクセスしない」「別のブラウザを使う」ことなどが対策となる。

  セキュリティ·ホールの発見者である「http-equiv」は,このセキュリティ·ホールを検証するためのデモを公開している。デモ·ページにIEでアクセスすると,Windows Updateのページが表示されるが,フレームのひとつには米Microsoftとは無関係のサイトのページが表示される。

  アドレス·バーを含めたWindows Updateの表示部分は,Microsoftが用意する“本物”のページである。今回のセキュリティ·ホールを突くようなページにIEでアクセスすると,そのページで指定したページ(デモでは「windowsupdate.microsoft.com」)のフレームに,同じくそのページで指定した別サイトのページ(デモでは「malware.com」)を埋め込んだ形で表示させられるのである。

  もちろん,IEの仕様ではこのようなことは許可していない。もし許せば,悪意のあるコンテンツ(例えば,個人情報を入力させて盗むようなコンテンツ)を,有名企業のページの一部に見せかけることが可能になってしまうからだ。1998年には,同じようなセキュリティ·ホールがIE 3.x/4.x に見つかったために,Microsoftはパッチを公開した。ところが,IE 5.x/6.x には依然存在するのである。このためSecuniaでは,「6 year old vulnerability」と記述している。

  当然のことながら,例えば「windowsupdate.microsoft.com」にアクセスした際に,悪意のあるコンテンツがフレームに埋め込まれて表示されるようなことはない。細工を施した悪意のあるページにアクセスした場合のみ,「有名企業のコンテンツ+悪意のあるコンテンツ」が同じ画面上に表示されるのである。このため,「怪しいページにアクセスしない/怪しいリンクをクリックしない」ことが対策となる。Secuniaでは,IE以外のブラウザを使うことも対策として挙げている。

  オンライン詐欺に悪用できる危険なセキュリティ·ホールである。IEユーザーは十分注意してほしい。

  译文对照:

  丹麦安全销售商Secunia等于6月30日公开了在Internet Explorer(IE)中发现的安全漏洞(英文)。如果在Web网页中做手脚,可能在使用框架的任意Web内容中显示任意内容。也就是说,如果使用IE 访问被做过手脚的网页,可能会显示嵌入恶意内容的著名企业的Web网页。

  这是一个可以恶意使用“Phishing(使用邮件进行欺诈)”等的安全漏洞,由于补丁尚未公开,因此对策为“不要访问不可靠的网页”、“使用其他浏览器”等。

  安全漏洞的发现者“http-equiv”公开了验证这一安全漏洞的示范。在示范网页中通过使用IE访问后,虽然显示Windows Update的页面,但其中一个框架却显示了与美国微软毫无关系的网页。

  在包括地址栏的Windows Update显示部分,是微软的“真正”网页。在突破此次安全漏洞的网页中通过IE访问后,在该网页指定的网页(示范中为 “windowsupdate.microsoft.com”)的框架中,嵌入了该网页指定的其他网站的网页(示范中为“malware.com”)。

  当然,IE的设置是不允许发生这种情况的。因为如果允许,就可以把带有恶意的内容(比如让人输入个人信息进行窃取的内容)伪装成著名企业网页的部分内容。由于1998年曾在IE 3.x/4.x中发现过同样的安全漏洞,微软已公开了补丁(英文)。但该漏洞仍然存在于IE 5.x/6.x中,因此被Secunia形容为“6 year old vulnerability”。

  当然,在访问“windowsupdate.microsoft.com”时,不会在框架里嵌入带有恶意的内容并显示出来。只有访问被做过手脚带有恶意的网页时,才会在同一页面上显示“著名企业的内容+带有恶意的内容”。因此,可以采取“不访问可疑网页,不点击可疑链接”的对策。Secunia提出的另一对策是使用IE之外的浏览器。

  这是一个可被在线欺诈恶意利用的危险安全漏洞。IE用户务必提高警惕!

  上一篇:  日语报刊选读113

  下一篇:  日语报刊选读114

相关资讯:
网站导航:
 四六级 指南 动态 经验 试题 资料  托福 指南 动态 经验 留学 备考
 雅思 指南 动态 机经 经验 辅导  公共英语 指南 动态 备考 试题 辅导
 日语 就业 辅导 留学 考试 报考  法语 资料 文化 考试 留学 辅导
 韩语 入门 口语 阅读 留学 文化  西语 辅导 资料 考试 留学 风采
日语0-N2 级直通车 系统讲解考点,轻松应对考试
课时数:20课时
日本语能力测试N1 解读命题特点,稳步提升能力
课时数:20课时
日本语能力测试N2 解题命题精髓,成功征服考试
课时数:15课时
日本语能力测试N3 揭秘答题技巧,直达高分成绩
课时数:15课时
日本语能力测试N4 剖析做题技巧,全面提升能力
课时数:6课时
日本语能力测试N5 提炼考试精华,逐步精通日语
课时数:3课时
学员 ajgoq12:
我参加了外语教育网日本语能力测试N1考试辅导课程,很喜欢李菲菲老师的讲课风格。老师授课重点突出,注重日语学习能力的培养,让我受益良多。即将参加考试了,我一定会考出好的成绩。再一次感谢老师,感谢网校!
学员 iehkfn584:
外语教育网日语能力测试网上辅导的李菲菲老师讲得真好,真得很感谢老师。还有网站的高清课件和移动课堂真棒,课程播放流畅,画面清晰,能够随时学习,功能太强大了!
学员 kaku1:
刚上课时觉得课程很多,不知不觉间3个月课就上完了,果然时光易逝啊。这一段时间向李菲菲老师学习了不少东西,从而让我对日语有了更深的了解和体会。虽然课程结束了,但是学习是一辈子的事情。我会继续努力的~~大家也一起加油吧!
学员 yaba1:
一直想找一个学习日语的网校,可以反复听课,因为我不想学哑巴日语。外语网的老师讲得非常好,我很喜欢,打算一直学下去!
学员 liff1:
超喜欢李菲菲老师的日语课!语言简洁流畅不赘述,而且能把枯燥的课程讲得很生动。
学员 lsakld:
日语零起点是我在网校学习的第一个辅导班,以前就知道外语教育网,但当自己真的成为网校学员时,感觉非常好。通过学习类延云老师的课程,为自己打牢了日语基础。以后我会继续在网校学习,为出国做准备。
学员 984jkfjdslhk:
从学习日语零起点,到实用日语,再到新标准日本语,感谢外语教育网一路的陪伴,现在的我已经可以流利地用日语交流了。对于上班族和妈妈级的人来说,网校无疑是最好的学习场所,向各位学友推荐。我要大声说:网校太棒了!
学员 xwpae:
外语教育网课程真得很棒,老师讲得也很好。新标日是很经典的教材,是考试必学的内容,大家都来网校学习一下吧!
学员 xiepam:
眼看着能力考报名就要结束了,一直犹豫要不要报名,今天早上终于下定决心,准备参加今年的考试。N3虽然级别不高,但是,对于我来说已经很有难度了。听了外语教育网的课程,感觉自己能够跟上老师的讲课节奏,日语水平也得到了很大提高。希望今年夏天可以通过考试!
学员 hhaiwp:
是不是因为春天来了,所以漫画家都开始活跃起来,最近的新番真的很多,很喜欢看啊!距离7月份的能力考还有3个月,给自己加油!最亲爱的外语教育网老师,这段时间就要お愿いします!ガンバれ!
版权声明
   1、凡本网注明 “来源:外语教育网”的所有作品,版权均属外语教育网所有,未经本网授权不得转载、链接、转贴或以其他方式使用;已经本网授权的,应在授权范围内使用,且必须注明“来源:外语教育网”。违反上述声明者,本网将追究其法律责任。
  2、本网部分资料为网上搜集转载,均尽力标明作者和出处。对于本网刊载作品涉及版权等问题的,请作者与本网站联系,本网站核实确认后会尽快予以处理。
  本网转载之作品,并不意味着认同该作品的观点或真实性。如其他媒体、网站或个人转载使用,请与著作权人联系,并自负法律责任。
  3、本网站欢迎积极投稿
  4、联系方式:
编辑信箱:for68@chinaacc.com
电话:010-82319999-2371