forum.opennet.ru

Составление сообщения

Исходное сообщение

"Дополнение Web of Trust уличено в продаже сведений о посещен..."
Отправлено opennews, 07-Ноя-16 20:39

Популярное браузерное дополнение WOT (https://ru.wikipedia.org/wiki/WOT:_Web_of_Trust) (Web of Trust), которое насчитывает более 140 млн установок, применяется (https://www.mywot.com/ru) для проверки репутации сайтов в процессе  посещения и призвано защитить пользователя от опасных, мошеннических и вредоносных страниц, уличено (http://www.theregister.co.uk/2016/11/07/browsers_ban_web_of_... в накоплении сведений о действиях пользователей и продаже информации о посещениях сторонним лицам. Более того, анализ кода расширения показал (https://gist.github.com/Rob--W/bda5f28a0ac3b877780c6665bbed2... наличие уязвимости, позволяющей инициировать выполнение кода при обработке любых страниц.

Сведения о сборе и продаже данных о посещениях пользователей были  выявлены в ходе журналистского расследования (http://www.ndr.de/nachrichten/netzwelt/Nackt-im-Netz-Million... проведённого немецким телевизионным каналом NDR (https://ru.wikipedia.org/wiki/Norddeutscher_Rundfunk). Несмотря на то, что по заявлению Web of Trust  продавались только  обезличенная анонимная статистика, исследователям удалось точно идентифицировать более 50 пользователей в контрольной выборке, купленной через посредника. В процессе изучения купленной выборки журналисты также смогли выделить информацию, раскрывающую некоторые детали полицейских расследований, параметры закрытых финансовых операций  и информацию о сексуальных предпочтениях одного из судей.

Кроме того, пристальное изучение кода дополнения показало, что в WOT также была предусмотрена (https://gist.github.com/Rob--W/bda5f28a0ac3b877780c6665bbed2... лазейка, позволяющая загрузить и выполнить произвольный скрипт с привилегиями браузерного дополнения, получив команду в ответ на отправку проверочного запроса  о репутации сайта. В том числе, если бы разработчики WOT захотели, они могли бы реализовать через подобный скрипт любую расширенную логику, от перехвата форм с номерами кредитных карт до установки вредоносного ПО на систему пользователя.
В настоящее время дополнение уже удалено из каталогов Mozilla (https://addons.mozilla.org/en-us/firefox/addon/wot-safe-brow... Google Chrome и Opera (https://addons.opera.com/en/extensions/details/wot/). Пользователям, у которых дополнение Web of Trust был установлено ранее, необходимо вручную удалить дополнение для прекращения отслеживания  их посещений.

URL: http://www.theregister.co.uk/2016/11/07/browsers_ban_web_of_.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45443

Исходное сообщение
"Дополнение Web of Trust уличено в продаже сведений о посещен..." Отправлено opennews, 07-Ноя-16 20:39
Популярное браузерное дополнение WOT (https://ru.wikipedia.org/wiki/WOT:_Web_of_Trust) (Web of Trust), которое насчитывает более 140 млн установок, применяется (https://www.mywot.com/ru) для проверки репутации сайтов в процессе посещения и призвано защитить пользователя от опасных, мошеннических и вредоносных страниц, уличено (http://www.theregister.co.uk/2016/11/07/browsers_ban_web_of_... в накоплении сведений о действиях пользователей и продаже информации о посещениях сторонним лицам. Более того, анализ кода расширения показал (https://gist.github.com/Rob--W/bda5f28a0ac3b877780c6665bbed2... наличие уязвимости, позволяющей инициировать выполнение кода при обработке любых страниц. Сведения о сборе и продаже данных о посещениях пользователей были выявлены в ходе журналистского расследования (http://www.ndr.de/nachrichten/netzwelt/Nackt-im-Netz-Million... проведённого немецким телевизионным каналом NDR (https://ru.wikipedia.org/wiki/Norddeutscher_Rundfunk). Несмотря на то, что по заявлению Web of Trust продавались только обезличенная анонимная статистика, исследователям удалось точно идентифицировать более 50 пользователей в контрольной выборке, купленной через посредника. В процессе изучения купленной выборки журналисты также смогли выделить информацию, раскрывающую некоторые детали полицейских расследований, параметры закрытых финансовых операций и информацию о сексуальных предпочтениях одного из судей. Кроме того, пристальное изучение кода дополнения показало, что в WOT также была предусмотрена (https://gist.github.com/Rob--W/bda5f28a0ac3b877780c6665bbed2... лазейка, позволяющая загрузить и выполнить произвольный скрипт с привилегиями браузерного дополнения, получив команду в ответ на отправку проверочного запроса о репутации сайта. В том числе, если бы разработчики WOT захотели, они могли бы реализовать через подобный скрипт любую расширенную логику, от перехвата форм с номерами кредитных карт до установки вредоносного ПО на систему пользователя. В настоящее время дополнение уже удалено из каталогов Mozilla (https://addons.mozilla.org/en-us/firefox/addon/wot-safe-brow... Google Chrome и Opera (https://addons.opera.com/en/extensions/details/wot/). Пользователям, у которых дополнение Web of Trust был установлено ранее, необходимо вручную удалить дополнение для прекращения отслеживания их посещений. URL: http://www.theregister.co.uk/2016/11/07/browsers_ban_web_of_.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=45443

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Популярное браузерное дополнение WOT (https://ru.wikipedia.org/wiki/WOT:_Web_of_Trust) 
> (Web of Trust), которое насчитывает более 140 млн установок, применяется (https://www.mywot.com/ru) 
> для проверки репутации сайтов в процессе  посещения и призвано защитить 
> пользователя от опасных, мошеннических и вредоносных страниц, уличено (http://www.theregister.co.uk/2016/11/07/browsers_ban_web_of_trust_addon_after_biz_is_caught_selling_its_users_browsing_histories/) 
> в накоплении сведений о действиях пользователей и продаже информации о посещениях 
> сторонним лицам. Более того, анализ кода расширения показал (https://gist.github.com/Rob--W/bda5f28a0ac3b877780c6665bbed2e1b) 
> наличие уязвимости, позволяющей инициировать выполнение кода при обработке любых страниц.

> Сведения о сборе и продаже данных о посещениях пользователей были  выявлены 
> в ходе журналистского расследования (http://www.ndr.de/nachrichten/netzwelt/Nackt-im-Netz-Millionen-Nutzer-ausgespaeht,nacktimnetz100.html), 
> проведённого немецким телевизионным каналом NDR (https://ru.wikipedia.org/wiki/Norddeutscher_Rundfunk). 
> Несмотря на то, что по заявлению Web of Trust  продавались 
> только  обезличенная анонимная статистика, исследователям удалось точно идентифицировать 
> более 50 пользователей в контрольной выборке, купленной через посредника. В процессе 
> изучения купленной выборки журналисты также смогли выделить информацию, раскрывающую 
> некоторые детали полицейских расследований, параметры закрытых финансовых операций  и 
> информацию о сексуальных предпочтениях одного из судей.

> Кроме того, пристальное изучение кода дополнения показало, что в WOT также была 
> предусмотрена (https://gist.github.com/Rob--W/bda5f28a0ac3b877780c6665bbed2e1b#file-search-js-L978) 
> лазейка, позволяющая загрузить и выполнить произвольный скрипт с привилегиями браузерного 
> дополнения, получив команду в ответ на отправку проверочного запроса  о 
> репутации сайта. В том числе, если бы разработчики WOT захотели, они 
> могли бы реализовать через подобный скрипт любую расширенную логику, от перехвата 
> форм с номерами кредитных карт до установки вредоносного ПО на систему 
> пользователя.

> В настоящее время дополнение уже удалено из каталогов Mozilla (https://addons.mozilla.org/en-us/firefox/addon/wot-safe-browsing-tool/), 
> Google Chrome и Opera (https://addons.opera.com/en/extensions/details/wot/). Пользователям, 
> у которых дополнение Web of Trust был установлено ранее, необходимо вручную 
> удалить дополнение для прекращения отслеживания  их посещений.

> URL: http://www.theregister.co.uk/2016/11/07/browsers_ban_web_of_trust_addon_after_biz_is_caught_selling_its_users_browsing_histories/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=45443

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру