সুরক্ষা দুর্বলতার ক্ষেত্রে ফায়ারফক্সের অ্যাক্টিভএক্সের মতো কিছু রয়েছে কি?

8

লোকেরা সবসময় বলে যে লিনাক্স উইন্ডোজের চেয়ে বেশি সুরক্ষিত। মূল কারণটি সাধারণ সিস্টেম ডিজাইনের দর্শন এবং ব্যবহারকারীরা ব্যবহারকারীর এবং মূল নয় বলে মনে হয়।

উইন্ডোজ এবং ইন্টারনেট এক্সপ্লোরার ব্যবহার করার সময় একটি প্রধান সুরক্ষার উদ্বেগ অ্যাক্টিভএক্স বলে মনে হয়। অ্যাক্টিভএক্স ব্যবহার করে অন্য কয়েকটা শোষণের বিষয়ে প্রতি কয়েকদিন আমি পড়ি এবং প্রায়শই অ্যাক্টিভএক্সকে নিষ্ক্রিয় করা হয় work আমি এটি পড়েছি যে প্রায়শই আমি ভাবছি কেন লোকেরা একেবারে অ্যাক্টিভএক্স সক্রিয় করতে বিরক্ত করে। (একটি কারণ হতে পারে নামটিতে "সক্রিয়" রয়েছে; অন্যটি উইন্ডোজ আপডেট ফাংশন হতে পারে))

উবুন্টু এবং ফায়ারফক্স ব্যবহার করে, অ্যাক্টিভেক্সের শোষণগুলি পড়ার সময় আমি সর্বদা নিজেকে নিরাপদ বোধ করি। আমি জানি যে আরও অনেক সুরক্ষা দুর্বলতা রয়েছে যা জাভাস্ক্রিপ্ট এবং / অথবা অ্যাডোব ফ্ল্যাশ ব্যবহার করে, তবে আমি যতটা বুঝতে পারি যে এই ধরণের সুরক্ষিত দুর্বলতাগুলি কেবলমাত্র আমার ব্যবহারকারীর অধিকারকে অনুমতি দেয় তত ক্ষতি করতে পারে। ম্যালওয়্যার আমার সমস্ত ডেটা ধ্বংস করতে চাইলে অবশ্যই এটি তেমন কোনও সহায়ক হয় না - তবে বেশিরভাগ ম্যালওয়ার আজ কেবলমাত্র আমার পিসি বোটনেট ড্রোন হিসাবে ব্যবহার করতে চায় এবং তাই আমার ডেটা নষ্ট করতে আগ্রহী নয়।

সুতরাং আবার প্রশ্ন: উবুন্টুর অধীনে চলমান ফায়ারফক্সের সুরক্ষা দুর্বলতার দিক থেকে অ্যাক্টিভেক্সের মতো কিছু রয়েছে কি?

আর একটি প্রশ্ন যা অভিন্ন হতে পারে: অ্যাডোব ফ্ল্যাশ এবং / অথবা জাভাস্ক্রিপ্টের সাথে জড়িত সুরক্ষা দুর্বলতা কী "অ্যাক্টিভএক্স শোষণের মতো ক্ষতি করতে" সহজেই "শোষণ করা যেতে পারে?

আমি যখন "সহজ" বলি তখন এর অর্থ হ'ল ব্যবহারকারীর অধিকারকে উন্নত করার জন্য আক্রমণটির সিস্টেমের অন্য উপাদানটি ব্যবহার করার দরকার নেই। উদাহরণস্বরূপ, অ্যাডোব ফ্ল্যাশ জড়িত একটি শোষণটি আমার ব্যবহারকারীর অধিকারগুলি ব্যবহার করে আমার পিসিতে অ্যাক্সেস অর্জন করবে এবং তারপরে Xরুট অ্যাক্সেস পাওয়ার জন্য কিছু জ্ঞাত দুর্বলতা কাজে লাগিয়ে এগিয়ে যাবে । এটি "সহজ" নয়।

security  firefox 
lesmana
সূত্র
2
অ্যাক্টিভএক্স শোষণগুলি কেবল আইইয়ের মধ্যে সীমাবদ্ধ নয়। তারা উইন্ডোজ সীমাবদ্ধ। উইন্ডোজ ফায়ারফক্স অ্যাক্টিভ এক্স করতে পারে।
ম্যাকো
গতবার আমি যখন দেখেছি, উইন্ডোজ ফায়ারফক্স কেবলমাত্র (আংশিক) অ্যাক্টিভ এক্স করতে পারে যা ডিফল্টরূপে ইনস্টল করা হয়নি plugin (এবং এটি অবশ্যই WINE এ কাজ করে, তাই কেবল উইন্ডোজ নয়))
জানক

উত্তর:

8

সুরক্ষা দুর্বলতার দিক থেকে উবুন্টুর অধীনে ফায়ারফক্সের কি অ্যাক্টিভ এক্সের মতো কিছু রয়েছে?

'অ্যাক্টিভএক্স' দুটি অংশে বিবেচনা করা যেতে পারে, বস্তুর মডেল এবং ইনস্টলেশন পদ্ধতি। ফায়ারফক্সের উভয়ের জন্য অনুরূপ কিছু — এবং ক্রস-প্ল্যাটফর্ম সামঞ্জস্যপূর্ণ, উবুন্টু বা অন্যান্য other

অ্যাক্টিভএক্সের অবজেক্ট মডেল হ'ল মাইক্রোসফ্ট সিওএম ; ফায়ারফক্সের সমতুল্য এক্সপিকম । অন্যান্য অনেক উইন্ডোজ বৈশিষ্ট্য এবং অ্যাপ্লিকেশন যা ওয়েব ব্রাউজিং এমএস সিএম ব্যবহারের সাথে কিছুই করার নয় এবং প্রচলিতভাবে অন্তহীন সমস্যা রয়েছে যেখানে নিরাপদ ওয়েব ব্যবহারের জন্য লিখিত হয়নি এমন সিওএম নিয়ন্ত্রণগুলি ওয়েব পৃষ্ঠাগুলিতে উপলভ্য ছিল। এর ফলে অনেক আপস হয়েছিল। এক্সপিসিএম অন্যান্য সিস্টেমের সাথে ভাগ না করায় ফায়ারফক্স এখানে আরও ভাল। কোনটি কী নিয়ন্ত্রণগুলি ব্যবহার করার অনুমতি দেয় সেগুলি হ্রাস করার জন্য IE এর নতুন সংস্করণগুলির আরও ভাল নিয়ন্ত্রণ রয়েছে।

(পার্শ্ব-ইস্যু হিসাবে, যেহেতু ফায়ারফক্সের জন্য অনেকগুলি অ্যাড-অন নিজেই জাভাস্ক্রিপ্টে লেখা হয়েছে, এটি একটি উচ্চ-স্তরের স্ক্রিপ্টিং ভাষা, তারা প্রায়শই সি-তে লিখিত লিখিত এক্সটেনশনগুলির চেয়ে বাফার ওভারফ্লো এবং স্ট্রিং হ্যান্ডলিং ত্রুটিগুলি থেকে বেশি সুরক্ষিত থাকে [ ++,]।)

অ্যাক্টিভএক্সের কন্ট্রোল-ডাউনলোডার অংশটি খারাপ পুরানো দিনগুলি থেকে কিছুটা পরিষ্কার হয়ে গেছে যখন আমার কম্পিউটার জোনটিতে যে কোনও কিছু পছন্দ করা কোনও সফ্টওয়্যার ইনস্টল করতে পারে এবং alertআপনি অ্যাক্টিভএক্সকে অনুমোদন করতে রাজি না হওয়া পর্যন্ত আগ্রাসী লোডার স্ক্রিপ্টগুলি আপনাকে একটি লুপে আটকাতে পারে could শীঘ্র. ফায়ারফক্সের সমতুল্য, এক্সপিআইনস্টল , মজিলার সাইটগুলি ডিফল্টরূপে এবং ইনস্টলেশনের আগে উপযুক্ত সতর্কতা / প্রম্পট ব্যতীত সকলের জন্য 'ইনফরমেশন বার' দিয়ে মূলত একইভাবে আচরণ করে।

মজিলায় নিজেকে আপোস করতে পারেন এমন আরও একটি অন্তর্নির্মিত উপায় রয়েছে: স্বাক্ষরিত স্ক্রিপ্টগুলি । আমি বাস্তবে এটি ব্যবহৃত কখনও দেখিনি, এবং অবশ্যই স্ক্রিপ্টের অতিরিক্ত অধিকার পাওয়ার আগে আরও একটি সতর্কতা উইন্ডো উপস্থিত হবে, তবে এটি একধরণের উদ্বেগের বিষয় যে এটি ওয়েবপৃষ্ঠাগুলিতে মোটেই উপলব্ধ।

উদাহরণস্বরূপ ফ্ল্যাশের মাধ্যমে শোষণ করা আমার ব্যবহারকারীর অধিকারের অধীনে আমার পিসিতে অ্যাক্সেস অর্জন করবে

হ্যাঁ, আজ বেশিরভাগ ওয়েব শোষণ প্লাগইনগুলিতে ঘটে। অ্যাডোব রিডার, জাভা (*) এবং কুইকটাইম সর্বাধিক জনপ্রিয় / দুর্বল। আইএমও: এগুলি থেকে পরিত্রাণ পান, এবং যখন আপনি চান তখন কেবল ফ্ল্যাশ দেখাতে ফ্ল্যাশব্লক ব্যবহার করুন।

(*: এবং জাভা এর কথোপকথনগুলি আপনাকে কিছু অবিশ্বস্ত অ্যাপলেটকে সমস্ত সুরক্ষা ত্যাগ করার আগে এটিও কিছুটা খালি is)

উবুন্টু আপনাকে ডিফল্টরূপে কিছু প্রশ্নযুক্ত প্লাগইন দেয়, বিশেষত একটি মিডিয়া প্লেয়ার প্লাগইন যা আপনার যে কোনও মিডিয়া কোডেকের প্রতিটি দুর্বলতা ওয়েবের মাধ্যমে শোষণযোগ্য করে তুলবে (উইন্ডোজ মিডিয়া প্লেয়ার প্লাগইনের অনুরূপ, কেবলমাত্র আরও অনেকগুলি ফর্ম্যাট সহ)। যদিও আমি এখনও এই জাতীয় লিনাক্সকে লক্ষ্য করে একটি শোষণের সাথে দেখা করতে পারি নি, এটি কেবল অস্পষ্টতার মাধ্যমেই কেবল সুরক্ষা।

দ্রষ্টব্য যে অ্যাক্টিভএক্স নিজেই আলাদা নয়। অ্যাক্টিভএক্সের ভিত্তিতে একটি ওয়েব ব্রাউজার আপস এখনও ব্যবহারকারী-স্তরের অ্যাক্সেস দেয়; এটি কেবল কারণ ভিস্তার আগে সকলেই অ্যাডমিনিস্ট্রেটর হিসাবে অভ্যাসগতভাবে সমস্ত কিছু চালিয়েছিলেন যা এটি সম্পূর্ণরূপে মূলের দিকে এগিয়ে যায়।

এবং তারপরে রুটের অধিকার অর্জনের জন্য এক্স এর কিছু জ্ঞাত দুর্বলতা কাজে লাগিয়ে অনুসরণ করুন। এটি "সহজ" নয়।

হয়তো, হয়তো না. তবে আমি মনে করি যে কোনও সাধারণ ব্যবহারকারীর অ্যাকাউন্ট থেকেও কিছু ম্যালওয়্যার যে ক্ষতি করতে পারে তা যথেষ্ট খারাপ is আপনার সমস্ত ব্যক্তিগত তথ্য অনুলিপি করুন, আপনার কী টিপুনগুলি পর্যবেক্ষণ করুন, আপনার সমস্ত নথি মুছুন ...

bobince
সূত্র
যখনই সম্ভব উবুন্টু বাফার ওভারফ্লোগুলিকে শোষণের আগে ধরার জন্য কিছু কৌশল ব্যবহার করে (এনএক্স বিট, এসএসপি, পিআইই, এএসএলআর, ইত্যাদি), যাতে মিডিয়া প্লেয়ার প্লাগইন তুলনামূলকভাবে নিরাপদ থাকে।
জানু
হ্যাঁ, পরবর্তী সংস্করণগুলিতে আইই এর একই সুরক্ষার অনেকগুলি রয়েছে। এখনও, বিরতি হয়েছে; প্রথম স্থানে দুর্বল সফ্টওয়্যার না থাকার বিকল্প নেই।
ববিনস 710
4

এটি দুর্বলতার প্রকৃতির উপর নির্ভর করে। কখনও কখনও আপনি "ভাগ্যবান" এবং দুর্বলতা "ন্যায়সঙ্গত" কিছু সীমাবদ্ধ প্রকাশের জন্য অনুমতি দেয় তবে প্রায়শই দুর্বলতাগুলি নির্বিচারে কোড প্রয়োগের জন্য অনুমতি দেয়। এই মুহুর্তে, আপনি গভীর ডু-দাহে রয়েছেন, ঠিক যেমন অ্যাক্টিভএক্স সমস্যা। এবং এই গর্তগুলি ইমেজ ফাইলগুলি (দূষিত চিত্র), বা শব্দ বা অন্য কোনও কিছুর জন্য পরিচালনা করতে পারে।

অ্যাক্টিভএক্স আরও খারাপ ছিল কারণ এটি কোড লেখকদের "যদি এটি ইনস্টল করা থাকে তবে এটি কোনও ওয়েব-পৃষ্ঠা থেকে উল্লেখ করা নিরাপদ" বলে ঘোষণা করার একটি উপায় সরবরাহ করেছিল এবং প্রচুর কোডার এর নিদর্শনগুলি না বুঝে চালু করে রেখেছিল, তাই প্রচুর লক্ষ্যবস্তু ছিল এবং এটি খুঁজে পাওয়া সহজ হবে। তবে আপনার কাছে ইমেজ ফাইলগুলিতে অদ্ভুত সংখ্যাগুলি পরিচালনা করা থেকে ঠিক ততটাই এক্সপোজার রয়েছে। এটি কেবলমাত্র ব্রাউজার আপডেট করে ইমেজ-ফাইলের সমস্যাগুলি ঠিক করা হয়েছে।

এর যে কোনওটির বিরুদ্ধে একমাত্র প্রতিরক্ষা হ'ল স্যান্ডবক্সিং ব্যবহার করা, যা ব্যবহারকারী হিসাবে চলমান প্রক্রিয়াটি কী করতে পারে তা সীমাবদ্ধ করে। ওপেনবিএসডি বিভিন্ন ডেমোনকে (বিশেষত ওপেনএসএসএইচ, তাই আপনি এখন এটি উবুন্টুতে ব্যবহার করছেন) আলাদা আলাদা করে জনপ্রিয় করে তোলার জন্য অগ্রণী ভূমিকা নিয়েছিলেন। ক্রোম ওয়েব ব্রাউজারগুলির জন্য এটি জনপ্রিয় করেছে, তবে কয়েকটি প্ল্যাটফর্মগুলিতে কেবল স্যান্ডবক্সিং রয়েছে। হাস্যকরভাবে সম্ভবত কিছুক্ষণের জন্য আপনি সম্ভবত লিনাক্সের কোনও গ্রাফিকাল ব্রাউজারের তুলনায় উইন্ডোজের ক্রোমের সাথে নিরাপদ ছিলেন। ভাগ্যক্রমে, এটি পরিবর্তন হচ্ছে। আমি বিশ্বাস করি যে লিনাক্স রিলিজে এখন কিছু আংশিক সুরক্ষা রয়েছে।

http://www.cl.cam.ac.uk/research/security/capsicum/ ভাল হয় যদি আপনি স্যান্ডবক্সের জন্য সক্ষমতা সিস্টেমটি আবিষ্কার করতে এবং কীভাবে জিনিসগুলি আরও ভাল হতে পারে তা দেখতে চান।

ফিল পি
সূত্র
1

একটি অ্যাক্টিভএক্স শোষণ আপনার ব্যবহারকারীর অধিকারের বাইরে কোনও ক্ষতি করতে পারে না (অন্য শোষণগুলি ব্যবহার না করে যেমন আপনি ইঙ্গিত করেছেন)। উইন্ডোজের মূল সমস্যাটি হ'ল প্রায় সকলেই বেশিরভাগ সময় প্রশাসক হিসাবে কাজ করতেন ...

JanC
সূত্র
আমার ব্যবহারকারী হিসাবে যদি কোনও দূষিত প্রক্রিয়া চলতে শুরু করে তবে আমি আপত্তি করব। এটিতে ব্যক্তিগত এবং বাণিজ্যিক তথ্যগুলির বেশ কয়েকটি টিবিতে অ্যাক্সেস থাকবে, এমন কিছু যা প্রতিস্থাপনে খুব দীর্ঘ সময় নেয়।
অলি
অবশ্যই, তবে এটি নেটস্কেপ প্লাগইন, মজিলা / ফায়ারফক্স। এক্সপি এক্সটেনশান ইত্যাদির ক্ষেত্রেও সত্য
জানু
-2

আমি কেবল উল্লেখ করতে চাই যে লিনাক্স তাত্ত্বিকভাবে উইন্ডোজ than এর চেয়ে তাত্ত্বিকভাবে কম নিরাপদ, যার কয়েকটি শীতল সুরক্ষা বৈশিষ্ট্য রয়েছে।

লিনাক্স ভাইরাস না থাকার কারণ একই কারণেই নেই যে কোনও বাণিজ্যিক লিনাক্স গেমস রয়েছে: নির্মাতারা জনগণের সাথে যান এবং জনগণ উইন্ডোজ ব্যবহার করে।

সুতরাং সর্বাধিক সুরক্ষিত উপায় হ'ল বিকল্প পণ্য ব্যবহার করা (যেমন ফায়ারফক্স কিছু বছর আগে ছিল, আজ ফায়ারফক্সের শোষণগুলি বেশিরভাগ ক্ষেত্রে ব্যবহৃত হয়)।

এখন আপনার প্রশ্নের উত্তর দিতে: আমি যতদূর জানি অ্যাক্টিভ এক্স-এক্সপ্লয়েটগুলি ফায়ারফক্সের উদ্বেগ প্রকাশ করে না।

আমি লিনাক্স এবং ফায়ারফক্সের সাথে বেশ নিরাপদ ব্রাউজিং অনুভব করছি তবে অপেরা ব্যবহার করা আরও সুরক্ষিত হতে পারে কারণ অপেরা অপেক্ষাকৃত কম জনপ্রিয়।

আপনার এসএসএইচটি যদি ইন্টারনেটে খোলা থাকে তবে আপনার শক্তিশালী পাসওয়ার্ড থাকার বিষয়টি বিবেচনা করা উচিত কারণ প্রচুর স্ক্যানার রয়েছে যা আপনার পিসিতে অদ্ভুত জিনিসগুলি ইনস্টল করতে আপনার এসএসএস হ্যাক করার চেষ্টা করে (/ etc / ssh / sshd_config এ সরাসরি রুট অ্যাক্সেস অক্ষম করে)।

আমি মনে করি অন্যান্য বেশিরভাগ আক্রমণ একটি ব্যবহারকারীর সাথে সুনির্দিষ্ট, সুতরাং আপনার কাছে যদি কোনও সংস্থার গোপনীয়তা বা শত্রু না থাকে তবে আপনার কম্পিউটারটি বেশ নিরাপদ থাকা উচিত।

sBlatt
সূত্র
আপনার এসএসএইচে পাসওয়ার্ড-ভিত্তিক লগইনগুলির অনুমতি দেওয়া উচিত নয়। এসএসএইচ কী ব্যবহার করুন।
ম্যাকো
4
আপনার প্রথম বাক্যটির অন্তর্নিহিত অনুমানটি ভুল: "শীতল সুরক্ষা বৈশিষ্ট্যগুলি" থাকা কোনও সিস্টেমকে নিরাপদ করে না। সুরক্ষিত ডিজাইনের সরলতা একটি বিশাল গুণ ue জটিল বৈশিষ্ট্যগুলি সর্বদা ভুল বোঝাবুঝি এবং অপব্যবহার করা হয়।
গিলস 'দুষ্ট হওয়া বন্ধ করুন'
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.