Wydawać może się, że kolorowo migające „flashki”, to taki miły dodatek do stron, który powoduje, że wszystko nabiera nieco żywszych kolorów. Zarówno dla użytkowników jak i webmasterów, technologia stała się czymś tak oczywistym, że trudno wyobrazić sobie dzisiejsze zasoby sieciowe bez wspomnianej technologii – np. zakotwiczone wideo, itp.
Tymczasem, kilka dni temu wyszło na jaw, że obiekty wykonane w technologii Flash mogą stanowić świetny cel dla użytkowników chcących pozyskać nasze prywatne dane – oczywiście bez naszej zgody. Odkrycia dokonali m.in. spece z Google. Odpowiednio spreparowany kod umożliwia wykorzystanie odkrytej luki do przechwycenia nazw i haseł nieświadomego użytkownika.
Problemem jest brak odporności apletów Flash na ataki typu XSS - użycie odpowiedniego skryptu, który jest przesyłany od użytkownika do aplikacji internetowej, a dalej do kolejnych użytkowników. Co gorsza wszystko to odbywa się w chwili w której dana strona objęta jest najwyższym poziomem zaufania. Problem ten dotyczy aktualnie funkcjonujących setek tysięcy obiektów zakotwiczonych w tysiącach stron.
Czy Adobe ma jakieś gotowe rozwiązanie na odkryty problem? Okazuje się, że nie. Odpowiedź na pytanie jak ustrzec się przez „niedoróbkami” Flasha może wydać się wręcz absurdalna. Należy po prostu usunąć dziurawe aplety lub zablokować do nich dostęp. Adobe sugeruje takie kroki w przypadku stron o podwyższonym poziomie ryzyka – witryny rządowe, banki, etc.
Producent zapowiada, że na korektę należy poczekać kilka tygodni.
Komentarze
0Nie dodano jeszcze komentarzy. Bądź pierwszy!