“卡巴斯基通过UUID注入识别Web客户”
今天,新闻卡巴斯基未经顾客同意向所有页面的html源代码注入了共同的唯一标识符( uuid )。 以前版本的杀毒软件为每个客户生成了一个uuid。 7月11日的补丁更改为不唯一的标识符,但没有中止注射。
uid几乎无处不在。 公司采用它们来识别需要跟踪的客户、设施和其他实体。 但是,如果这些标识符未得到妥善管理,则可能会被用于恶意目的。 例如,蓝牙停止广告的唯一标识符,因为黑客正在使用它跟踪人。 其他企业也采取了同样的预防措施,无论是uuid还是其他,都采用了他们采用的工具作为标识符。
卡巴斯基基本上发生了相反的事件。 c叔表示,他发现杀毒软件在6月访问的各个页面中注入了包含uuid的字符串。 目前尚不清楚注入这些uuid--的理由。 原因可能是某些谷歌搜索中显示的结果标记为安全,但不知道该如何采用。 该公司未经客户同意生成这些uuid并将其注入网页。
c.t表示建立了一个简单的网站,可以在向卡巴斯基报告问题之前收集这些uuid。 然后把这个问题告诉了企业,对问题的严重性进行了一点讨论,我们看到卡巴斯基发行了补丁,到了7月。 但是,进一步的测试表明,卡巴斯基只是放弃了没有停止将该字符串注入顾客浏览活动的uuid的静态标识符。
这个变化确实减少了卡巴斯基代码注入对隐私的影响。 但是,因为我们知道有人会采用卡巴斯基仍然是有价值的新闻,所以无法完全消除顾客的风险。 依赖早期版本的防病毒软件的人可能会包含在新版本中修改过的漏洞。 这是因为应该保护它们的工具显示出了弱点。
本周早些时候,由于windows defender的改进,向windows 10推荐第三方杀毒程序并不容易。 了解卡巴斯基提供了一种在不知道或不同意网站运营者的情况下跟踪客户的简单方法,从而使提案更加困难。 人们购买了保护自己系统的工具,但取而代之的是故意向世界广播唯一标识符的工具。
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。