天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

Widgets会成为下一个重大的安全威胁

2008-2-18赛迪网佚名

  Symantec的工程师Eric Chien表示,当前,作为一种可以在桌面显示一些类似天气预报的实用信息的桌面工具,gadget和widget,正逐渐流行起来。这是一个隐患,它们可能成为下一个重大的安全威胁。

  当前比较流行的这类软件有Google gadgets和Yahoo widgets,它们一般可以实时地以图形的方式显示当前电池状态、天气情况、证券价格等最新的信息。Chien表示:“它们不同于以往的插件和sandboxed applet,它们是独立和完整的应用程序,这使得它们更加具有被攻击的可能。”Gadget驻留在桌面或者工具栏中,它可以用类似于JavaScript或者VBScript一类的脚本语言编写,也可以用C++或者C#一样的程序语言编写。尽管从外表上看起来gadget和widget并没有太多的危险,但是事实上它们和一般的应用程序一样,具有对系统进行操作的所有权限,包括进行一些恶意的攻击。比如安置木马,扩散蠕虫或者其他病毒等等。使用某些gadget的API甚至可以使用一些原本需要身份认证的服务,比如gadget可以搜集系统的信息,截获键盘和浏览器数据,并且通过电子邮件或者即时通信工具等把这些信息传播出去。”

  Chien还介绍说:“因为所有的gadget都支持JavaScript,所以很可能出现跨平台感染的可能。一个Yahoo的gadget可能会感染一个Vista的gadget”Windows Vista使用了Sidebar技术,这种技术提供了对gadget的支持,这让gadget成为了一个很好的被攻击的目标。当然,尽管建立一个恶意gadget并不困难,但是当前gadget之间病毒的感染和传播还不算是个很大的威胁,因为毕竟使用gadget框架的用户的数量还相当少。

  微软(新西兰)的市场经理David Rayner说:“使用gadget不存在增加系统危险的问题,它的危险性同在网上下载其他的任何文件的危险性是一样的。新推出的Windows Vista会是安全性最好的一个Windows版本”。

  David Rayner还表示在1月30号会有一些gadget会随着Vista一起发布。Gadget的代码是可以被察看的,因此对于一个了解这种代码的人来说,会很容易检测到恶意的gadget。但是另一方面来说,由于许多的gadget都是用脚本语言编写的,要想在现有的gadget基础上添加附加内容也非常容易。有些gadget框架会限制对gadget代码的修改,但是在Vista中并没有这样的功能。

  Chien提醒目前的gadget用户,只安装从可信地点得到的gadget,而且在使用它之前先考虑清楚是不是真正有必要使用它。

  上文中Chien的讲述源自去年十二月他在AVAR (Association of Anti-virus Asia Researchers)讨论会上的发言。

  

  =============================================

  原文作者:Ulrika Hedquist

  原文来源:Computerworld

  原文链接:http://www.networkworld.com/news/2007/012307-widgets-the-next-big-
security.html?page=1

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行