26 September 2008

സൂക്ഷിയ്ക്കുക : നിങ്ങള്‍ ക്ലിക്ക് ജാക്ക് ചെയ്യപ്പെട്ടേയ്ക്കാം

സുരക്ഷാ വിദഗ്ദ്ധര്‍ അതീവ ഗുരുതരമായ ഒരു പുതിയ സുര‍ക്ഷാ മുന്നറിയിപ്പ് നല്‍കിയിരിയ്ക്കുന്നു. ഇത് വെറും മറ്റൊരു സുരക്ഷാ മുന്നറിയിപ്പല്ല. മൈക്രോസോഫ്റ്റ് ഇന്റര്‍നെറ്റ് എക്സ്പ്ലോറര്‍, മോസില്ല ഫയര്‍ ഫോക്സ്, ആപ്പ്ള്‍ സഫാരി, ഒപേര, അഡോബ് ഫ്ലാഷ് എന്നിങ്ങനെ എല്ലാ പ്രമുഖ ഡെസ്ക് ടോപ് പ്ലാറ്റ്ഫോമുകളേയും ബാധിയ്ക്കുന്ന ഒരു ബ്രൌസര്‍ സുരക്ഷാ പാളിച്ചയാണ് ഈ പുതിയ വെല്ലുവിളി.


ക്ലിക്ക് ജാക്കിങ് എന്ന് വിളിയ്ക്കുന്ന ഈ പുതിയ ഭീഷണിയെ പറ്റി ഇത് കണ്ടുപിടിച്ച റോബര്‍ട്ട് ഹാന്‍സന്‍, ജെറെമിയ ഗ്രോസ്മാന്‍ എന്നീ സുരക്ഷാ വിദഗ്ദ്ധര്‍ ന്യൂ യോര്‍ക്കില്‍ ഇക്കഴിഞ്ഞ ദിവസങ്ങളില്‍ (സെപ്റ്റംബര്‍ 22 - 25) നടന്ന ഒരു ഉന്നത തല കമ്പ്യൂട്ടര്‍ സുരക്ഷാ വിദഗ്ദ്ധരുടെ സമ്മേളനത്തില്‍ പരാമര്‍ശിക്കാന്‍ തീരുമാനി ച്ചിരുന്നതാണ്. OWASP NYC AppSec 2008 Conference എന്നായിരുന്നു ഈ സമ്മേളനത്തിന്റെ പേര്. OWASP എന്നത് സ്വതന്ത്ര സോഫ്റ്റ്വെയര്‍ എന്ന ആശയം പ്രോത്സാഹിപ്പിയ്ക്കുന്ന ഒരു ആഗോള കമ്പ്യൂട്ടര്‍ സുരക്ഷാ സമൂഹമാണ്. Open Web Application Security Project Foundation എന്ന ഒരു ലാഭ രഹിത കൂട്ടായ്മയാണ് ഈ പ്രോജക്റ്റിനു പിന്നില്‍.




എന്നാല്‍ അഡോബ് ഉള്‍പ്പടെയുള്ള ചില കമ്പനികളുടെ അഭ്യര്‍ത്ഥന മാനിച്ച് ഇവര്‍ ഇത് സമ്മേളനത്തില്‍ വെളിപ്പെടുത്തിയില്ല. ഇതിന് ഇവരോടുള്ള അഡോബിന്റെ കൃതജ്ഞത ഇവിടെ രേഖപ്പെടു ത്തിയിട്ടുണ്ട്.





ഇത്രയും പറഞ്ഞത് ഈ ഭീഷണിയുടെ ഗൌരവം ബോധ്യപ്പെടുത്താനാണ്.




ഇവര്‍ ഇത് ഈ സമ്മേളനത്തില്‍ വെളിപ്പെടുത്താ തിരുന്നത് അഡോബ് അടക്കമുള്ള കമ്പനികളുടെ അഭ്യര്‍ത്ഥന പ്രകാരം ആണെന്ന് പറഞ്ഞല്ലോ. എന്നാല്‍ ഈ കമ്പനികള്‍ ഇവരോട് ആവശ്യപ്പെട്ടിരുന്നത് ഈ ഭീഷണിയെ തടുക്കാന്‍ ആവശ്യമായ സുരക്ഷാ ഒട്ടിച്ചേര്‍ക്കലുകള്‍ (security patches) ഇവര്‍ ഉടനെ പുറത്തിറക്കും എന്നും അതു വരെ തങ്ങളുടെ ഉപഭോക്താക്കളെ അനാവശ്യമായ ഭീതിയില്‍ പെടുത്തരുത് എന്നും ആയിരുന്നു. ഇത് ന്യായമായ ആവശ്യമാണ് എന്ന് കണ്ടാണ് ഇവര്‍ ഇതിന് സമ്മതിച്ചതും.




എന്നാല്‍ ഈ ഭീഷണിയെ പറ്റി കൂടുതല്‍ പഠിച്ചപ്പോള്‍ ഭീതിദമായ മറ്റൊരു സത്യം ഇവര്‍ക്ക് വെളിപ്പെട്ടു. ഇത് എല്ലാവരും കരുതിയത് പോലെ ഒരു ചെറിയ പ്രശ്നമല്ല. വളരെ ദൂര വ്യാപകമായ പ്രത്യാഘാതങ്ങള്‍ ഉള്ളതാണ് എന്നും കേവലം ചില ഒട്ടിച്ചേര്‍ക്കലുകള്‍ കൊണ്ട് പരിഹരിയ്ക്കാവുന്ന ഒരു പ്രശനമല്ല ഇത് എന്നും ആണ് ലോകത്തെ ഏറ്റവും കഴിവുറ്റ സുരക്ഷാ വിദഗ്ദ്ധരുടെ അഭിപ്രായം.




എന്താണ് ക്ലിക്ക് ജാക്കിങ് എന്ന് പറയാം. നിങ്ങള്‍ ക്ലിക്ക് ജാക്ക് ചെയ്യപ്പെട്ട ഒരു വെബ് സൈറ്റ് സന്ദര്‍ശിച്ചു എന്നിരിയ്ക്കട്ടെ. ആ വെബ് സൈറ്റില്‍ ഒളിപ്പിച്ചു വെച്ച ലിങ്കുകളില്‍ നിങ്ങളറിയാതെ തന്നെ നിങ്ങളെ കൊണ്ട് ക്ലിക്ക് ചെയ്യിപ്പിയ്ക്കു ന്നതിനെയാണ് ക്ലിക്ക് ജാക്കിങ് എന്ന് പറയുന്നത്. എന്നു വെച്ചാല്‍ നിങ്ങള്‍ ഏതെങ്കിലും ലിങ്കില്‍ ക്ലിക്ക് ചെയ്താല്‍ ആ ക്ലിക്കിനെ ഹൈജാക്ക് ചെയ്ത് ആ സൈറ്റില്‍ ഒളിപ്പിച്ചു വെച്ചിരിയ്ക്കുന്ന ഉപദ്രവകാരിയായ ലിങ്കുകളിലേയ്ക്ക് തിരിച്ചു വിടുന്ന ഏര്‍പ്പാട്.




സാധാരണ ഗതിയില്‍ ഇത്തരമൊരു അപകടത്തെ ഒഴിവാക്കാന്‍ ജാവാസ്ക്രിപ്റ്റ് നിര്‍വീര്യ മാക്കിയാല്‍ മതിയാവു മായിരുന്നു.




എന്നാല്‍ ഈ ഭീഷണിയ്ക്ക് ജാവാസ്ക്രിപ്റ്റുമായി ബന്ധമേ ഇല്ല എന്നതാണ് ഇതിന്റെ പ്രത്യേകത. എന്നാല്‍ ഇങ്ങനെ ഗതി തിരിച്ചു വിടുന്ന ക്ലിക്കിനെ ഒരു ജാവാസ്ക്രിപ്റ്റ് കോഡിലേയ്ക്ക് തിരിച്ചു വിടാനാവുകയും ചെയ്യും.




അഡോബിന്റെ ഫ്ലാഷ് ബാനറുകള്‍ വെബ് സൈറ്റുകളില്‍ സര്‍വ്വ സാധാരണമാണ്. വെബ് സൈറ്റുകളിലെ പരസ്യങ്ങള്‍ പലപ്പോഴും ഫ്ലാഷ് ആയിരിയ്ക്കും. എന്നാല്‍ പല പ്രമുഖ വെബ് സൈറ്റുകളിലുമുള്ള ഇത്തരം പരസ്യങ്ങളില്‍ ക്ലിക്ക് ജാക്കിങ് നടന്നിട്ടുണ്ട്. ഇതില്‍ Newsweek, Digg, MSNBC.com എന്നീ സൈറ്റുകളും പെടുന്നു. ഈ സൈറ്റുകളില്‍ ഇത്തരം ആക്രമണത്തിന് വിധേയമായവരുടെ കമ്പ്യൂട്ടറിന്റെ ക്ലിപ്ബോര്‍ഡ് മെമ്മറിയില്‍ ഒരു ഉപദ്രവ കാരിയായ വെബ്സൈറ്റിന്റെ അഡ്രസ് കയറ്റി ഈ കമ്പ്യൂട്ടറുകളുടെ ക്ലിപ്ബോര്‍ഡ് ഹാക്കര്‍മാര്‍ കൈവശ പ്പെടുത്തിയത്രെ. ഈ അഡ്രസ് ക്ലിപ്ബോര്‍ഡില്‍ നിന്ന് ഡിലീറ്റ് ചെയ്യാനുമാവില്ല. അതോടെ നമ്മുടെ കമ്പ്യൂട്ടറിന്റെ കോപ്പി ചെയ്യാനുള്ള കഴിവ് നഷ്ടപ്പെടുന്നു. പിന്നീട് ബ്രൌസര്‍ റീസ്റ്റാര്‍ട്ട് ചെയ്യുകയോ എന്നിട്ടും ശരിയായില്ലെങ്കില്‍ കമ്പ്യൂട്ടര്‍ തന്നെ റീസ്റ്റാര്‍ട്ട് ചെയ്യുകയോ വേണ്ടി വരും ഇത് ശരിയാവാന്‍.




ക്ലിക്ക്ജായ്ക്കിന്റെ പ്രായോഗിക സാധ്യതയ്ക്ക് ഒരു ഉദാഹരണം ഇവിടെയുണ്ട്:
(സൂക്ഷിയ്ക്കുക: ഈ ലിങ്കില്‍ ക്ലിക്ക് ചെയ്യുന്നതോടെ നിങ്ങളുടെ ക്ലിപ്ബോര്‍ഡ് ക്ലിക്ക്ജാക്ക് ചെയ്യപ്പെടും. നിങ്ങളുടെ ആന്റി വൈറസ് പ്രോഗ്രാം ഇത് ഒരു വൈറസ് ആണെന്ന് മുന്നറിയിപ്പ് തന്നേയ്ക്കാം. ഇത് ഒരു ഡെമോ മാത്രമായതിനാല്‍ വേറെ പ്രശ്നമൊന്നും ഉണ്ടാവില്ല. എന്നാ‍ല്‍ ക്ലിപ്ബോര്‍ഡ് തിരിച്ചു ലഭിയ്ക്കണമെങ്കില്‍ ബ്രൌസര്‍ റീസ്റ്റാര്‍ട്ട് ചെയ്യേണ്ടി വരും.)




ഇതിന്റെ അപകട സാധ്യതകള്‍ ഭയാനകമാണ്. ഇന്റര്‍നെറ്റിന്റെ സുരക്ഷാ സംവിധാനത്തെ തന്നെ ഇത് തകിടം മറിയ്ക്കുന്നു. നിങ്ങള്‍ ചെയ്യുന്ന ഒരു ക്ലിക്ക് അത് ഉണ്ടാക്കുന്ന പരിണിത ഫലങ്ങളുടെ ഉത്തരവാദിത്തം നിങ്ങളിലാക്കുന്നു. ക്ലിക്ക് നിങ്ങള്‍ ചെയ്തതാണെങ്കില്‍ അത് നിങ്ങള്‍ അറിഞ്ഞു ചെയ്യുന്ന ഒരു പ്രവര്‍ത്തിയായി കണക്കിലാക്കിയാണ് പല സുരക്ഷാ തീരുമാനങ്ങളും നയങ്ങളും രൂപകല്‍പ്പന ചെയ്യപ്പെട്ടിരിയ്ക്കുന്നത്. ഈ ഒരു കണക്ക് കൂട്ടലിനെ ഈ ഭീഷണി തകിടം മറിയ്ക്കുന്നു.




ചുരുക്കത്തില്‍, കള്ളന്മാര്‍ക്കും കൊള്ളക്കാര്‍ക്കും പരിപൂര്‍ണ്ണ സ്വാതന്ത്ര്യ ത്തോടെ വിഹരിയ്ക്കാനാവുന്ന ഒരു നിയമ വാഴ്ച്ച യില്ലാത്ത അരാജകത്വം വാഴുന്ന ഇടമായി ഇന്റര്‍നെറ്റ് മാറും എന്ന് വേണമെങ്കില്‍ നമുക്ക് കടന്ന് ചിന്തിയ്ക്കാ നാവുന്നതാണ് ഈ ഭീഷണിയുടെ സാധ്യത.




ഹാന്‍സനും ജെറെമിയയും ഈ സുരക്ഷാ പിഴവിനെ പറ്റി മൈക്രോ സോഫ്റ്റുമായും മോസില്ലയുമായും ചര്‍ച്ച നടത്തുകയുണ്ടായി.




എന്നാല്‍ രണ്ട് കമ്പനിയ്ക്കാരും ഇത് അത്ര പെട്ടെന്ന് പരിഹരിയ്ക്കാന്‍ ആവില്ല എന്ന് തന്നെയാണ് അഭിപ്രായപ്പെട്ടത്.




ഇന്റര്‍നെറ്റ് എക്സ്പ്ലോററിന്റെ ഏറ്റവും പുതിയ വേര്‍ഷനായ IE8 ഉം ഫയര്‍ഫോക്സിന്റെ ഏറ്റവും പുതിയ വേര്‍ഷനായ Firefox 3യും ഈ ഭീഷണിയ്ക്ക് വിധേയമാണ്.




ക്ലിക്ക് ജായ്ക്കിങ്ങിന്റെ ഒരു പ്രശ്നം ഇതിന്റെ അനേകം സാധ്യതകളില്‍ ഓരോന്നിനും ഓരോ പരിഹാര മാര്‍ഗ്ഗങ്ങള്‍ ആവശ്യമാണ് എന്നതാണ്. ഒരു പരിഹാരം വെബ്സൈറ്റുകളില്‍ തന്നെ നേരിട്ട് ചെയ്യാവുന്ന പരിഹാര ക്രിയകളാണ്.




എന്നാല്‍ ലോകത്തിലുള്ള എല്ലാ സൈറ്റുകളും മാറ്റി നിര്‍മ്മിയ്ക്കുവാന്‍ ആവശ്യപ്പെടുന്നത് പ്രായോഗികമല്ല. ഒരൊറ്റ ബ്രൌസര്‍ പരിഹാര ക്രിയ കൊണ്ട് എല്ലാ പഴുതുകളും അടയ്ക്കാനുമാവില്ല. എല്ലാ ഭീഷണികളും പരിഹരിയ്ക്കാന്‍ കഴിഞ്ഞില്ലെങ്കിലും ഏറ്റവും ഗൌരവ തരമായ പ്രശ്നങ്ങള്‍ പ്രമുഖ ബ്രൌസര്‍ കമ്പനികള്‍ പരിഹരിയ്ക്കുന്നത് വരെ ഇങ്ങനെ ഒരു ഭീഷണിയെ കുറിച്ച് കൂടുതല്‍ വിവരങ്ങള്‍ ഇവര്‍ വെളിപ്പെടുത്താ തിരുന്നത് ഏറെ വിവേക പൂര്‍ണ്ണമായ ഒരു തീരുമാനം ആയിരുന്നു എന്ന് വിദഗ്ദ്ധര്‍ വിലയിരുത്തുന്നു.




ഇനി ഇതില്‍ നിന്നും തല്‍ക്കാലം രക്ഷപ്പെടാന്‍ നമുക്ക് എന്ത് ചെയ്യാനാവും എന്ന് നോക്കാം.




lynx എന്ന ബ്രൌസറിന് ഈ ഭീഷണി ബാധകമല്ല എന്ന് പറയപ്പെടുന്നു. എന്നാല്‍ ഇത് ഒരു ടെക്സ്റ്റ് ബ്രൌസറാണ്. lynx ഇവിടെ നിന്നും ലഭ്യമാണ് .





പിന്നെ നമുക്ക് ചെയ്യാവുന്ന രണ്ട് കാര്യങ്ങളാണുള്ളത്. ഒന്ന്, ബ്രൌസറിന്റെ സ്ക്രിപ്റ്റിങ് ശേഷി ഇല്ലാതാക്കുക. രണ്ട്, എല്ലാ പ്ലഗ്-ഇന്‍സും നിര്‍വീര്യമാക്കുക.




ഫയര്‍ഫോക്സ് അതിന്റെ noScript എന്ന പ്ലഗ് ഇന്‍ ഉപയോഗിച്ചു കൊണ്ട് പ്രവര്‍ത്തിപ്പിയ്ക്കുന്നതും ഈ ഭീഷണി ഒരു പരിധി വരെ തടുക്കാന്‍ സഹായിയ്ക്കും എന്ന്‍ വിദഗ്ദ്ധര്‍ പറയുന്നു. നൂറ് ശതമാനം സുരക്ഷിത ത്വത്തിന് “Plugins - Forbid iframe” എന്ന ഓപ്ഷന്‍ കൂടി ഉപയോഗിയ്ക്കുക.




noScript ഇവിടെ നിന്നും ലഭ്യമാണ്

ഫയര്‍ ഫോക്സ് ഇവിടെ നിന്നും ലഭ്യമാണ്

Labels:

1 അഭിപ്രായങ്ങള്‍ (+/-)
Links to this post

1 Comments:

onnum manasilayila. ake prsnamannu manasilayi

Sat Sep 27, 01:37:00 PM  

Post a Comment

Links to this post:

« ആദ്യ പേജിലേക്ക്



23 September 2008

ഇനി ഗൂഗ്ള്‍‍ ഫോണ്‍

ഏറെ കാത്തിരുന്ന ഗൂഗ്ള്‍ മൊബൈല്‍ ഫോണ്‍ ഇന്ന് ഔദ്യോഗികമായി പ്രഖ്യാപിയ്ക്കപ്പെട്ടു. ന്യൂ യോര്‍ക്കില്‍ നടന്ന ഒരു പത്ര സമ്മേളനത്തില്‍ ആണ് ഗൂഗ്ളും, ഫോണ്‍ നിര്‍മ്മിയ്ക്കുന്ന HTC യും മൊബൈല്‍ സേവന ശൃഖലയായ T-Mobile എന്ന കമ്പനിയും സംയുക്തമായി പുതിയ ഫോണിനെ പറ്റി വിശദമാക്കിയത്.




ലിനക്സില്‍ അധിഷ്ഠിതമായി മൊബൈല്‍ ഉപകരണങ്ങളുടെ ഉപയോഗത്തിന് മാത്രമായി ഗൂഗ്ള്‍ വികസിപ്പിച്ചെടുത്ത ആന്‍ഡ്രോയ്ഡ് എന്ന സ്വതന്ത്ര സോഫ്റ്റ്വെയര്‍ ഉപയോഗിയ്ക്കുന്ന ആദ്യത്തെ ഫോണ്‍ ആണ് ഇത്. തായ് വാന്‍ കമ്പനിയായ HTC നിര്‍മ്മിയ്ക്കുന്ന ഫോണിന്റെ പേര് HTC Dream എന്നാണ്.




“നിങ്ങള്‍ സഞ്ചരിയ്ക്കു ന്നിടത്തെല്ലാം ഒരു ലാപ് ടോപ്പുമായി പോകാന്‍ ബുദ്ധിമുട്ടാണ്. എന്നാല്‍ ഈ ഫോണ്‍, ഗൂഗ്ള്‍ സേര്‍ച്ചിനെ നിങ്ങളുടെ പോക്കറ്റില്‍ സദാ സമയവും ലഭ്യമാക്കുന്നു” - പുതിയ ഫോണിനെ പറ്റി ഗൂഗ്ളിന്റെ ഉപജ്ഞാതാക്കളില്‍ ഒരാളായ ലാറി പേജ് പറഞ്ഞതാണിത്.




ടി-മൊബൈല്‍ എന്ന മൊബൈല്‍ ശൃഖലയില്‍ മാത്രം ലഭ്യമാവും വിധം സിം കാര്‍ഡ് നിയന്ത്രണം ഏര്‍പ്പെടുത്തിയാണ് ഫോണ്‍ പുറത്തിറങ്ങുന്നത്. രണ്ട് വര്‍ഷത്തെ വരിസംഖ്യാ കരാറില്‍ ഏര്‍പ്പെട്ടാല്‍ ഫോണ്‍ വെറും 179 അമേരിയ്ക്കന്‍ ഡോളറിന് ലഭിയ്ക്കും.




വ്യക്തമായും iPhoneനെ പുറന്തള്ളാന്‍ ലക്ഷ്യമിടുന്ന ഈ ഫോണിന്‍ കാഴ്ചയില്‍ iPhoneഉമായി ഏറെ സാദൃശ്യം ഉണ്ട്.




iPhoneല്‍ ഇല്ലാത്ത ഒരു സവിശേഷത ഈ ഫോണില്‍ ഉള്ളത് ഇതില്‍ ലഭ്യമായ “സന്ദര്‍ഭോചിത” മെനു ആണ്. (context menu).




വേറെ പ്രധാനപെട്ട ഒരു വ്യത്യാസം ഇതില്‍ ഒന്നിലേറെ പ്രോഗ്രാമുകള്‍ ഒരേ സമയം പ്രവര്‍ത്തിപ്പിയ്ക്കാം എന്നുള്ളതാണ്. (multi tasking).




എന്നാല്‍ ഗൂഗ്ള്‍ ഫോണിന്റെ ഏറ്റവും വലിയ പ്രത്യേകത ഗൂഗ്ള്‍ തന്നെയാണ്. ഒരൊറ്റ ബട്ടണ്‍ ഞെക്കിയാല്‍ പ്രത്യക്ഷപ്പെടുന്ന Google Search. പിന്നെ Gmail, Google Maps, Google Talk, Google Calendar എന്നിങ്ങനെ മറ്റനേകം ജനപ്രീതി നേടിയ ഗൂഗ്ള്‍ സേവനങ്ങളും.

Labels: ,

0 അഭിപ്രായങ്ങള്‍ (+/-)
Links to this post

0 Comments:

Post a Comment

Links to this post:

« ആദ്യ പേജിലേക്ക്







ആര്‍ക്കൈവ്സ്





ePathram Pacha
ePathram Magazine

ബുക്ക് റിപബ്ലിക് - e പത്രം പിന്തുണക്കുന്ന വെബ് സൈറ്റ്
dubaieasy - e പത്രം പിന്തുണക്കുന്ന വെബ് സൈറ്റ്

Click here to download Malayalam fonts
Click here to download Malayalam fonts



സ്വകാര്യതാ നയം | സംഘടനാ വിവരങ്ങള്‍ | പരസ്യ സഹായി | പത്രാധിപര്‍

© e പത്രം 2010

വാര്‍ത്തകള്‍

പ്രധാന വാര്‍ത്തകള്‍
പ്രാദേശിക വാര്‍ത്തകള്‍
സിറ്റിസണ്‍ ജേണലിസം
വിനോദം, സിനിമ
ബിസിനസ്സ് വാര്‍ത്തകള്‍

News in English

 

കലാ സാഹിത്യം

ലേഖനങ്ങള്‍
കവിതകള്‍
കഥകള്‍
അനുഭവങ്ങള്‍

 

മഞ്ഞ (മാഗസിന്‍)

കവിതകള്‍
ചിത്രകല
അഭിമുഖം
കഥകള്‍
കുറിപ്പുകള്‍
മരമെഴുതുന്നത്

കോളംസ്

 

പച്ച (പരിസ്ഥിതി)

മറ്റ് പംക്തികള്‍

ചരമം
ഹെല്പ് ഡെസ്ക്
ബൂലോഗം
കാര്‍ട്ടൂണ്‍
വെബ്ബന്നൂരില്‍ കണ്ടത്
വായനക്കാര്‍ പറഞ്ഞത്