मला एक मजेशीर लेख सापडला आहे, स्रोत आहे डार्करेडिंग.कॉम आणि लेखक आहे केली जॅक्सन हिगिन्स. मी याचा अनुवाद सोडतो:
जावाची डार्क साइड
जेव्हा जावा सायबर गुन्हेगारांचे नवीन आवडते लक्ष्य बनते तेव्हा मेटास्प्लाइट नवीनतम जावा हल्ल्यांसाठी नवीन मॉड्यूल जोडते
01 डिसेंबर, 2011 | 08:08 दुपारी
केली जॅक्सन हिगिन्स यांनी
गडद वाचन
हे विकसकांच्या अधोगतीचे एक साधन आहे, परंतु जावा हे एक प्राथमिक आणि अद्याप वारंवार विसरलेल्या संगणकाची उपस्थिती आहे जी खलनायकाद्वारे वाढत्या लक्ष्यित आहे.
हल्ला वेक्टर म्हणून जावा का?
तिची प्रवेशशीलता आणि संगणकावर तेथे चालू असलेल्या कालबाह्य आवृत्त्यांची विपुल संख्या जावा हॅकर्सना निवडण्याची काळा टोपी बनवित आहे. संख्या हे सर्व सांगते: क्वेल्सच्या डेटानुसार, सुमारे 80 एंटरप्राइझ सिस्टीम जावाच्या कालबाह्य, अतुलनीय आवृत्ती चालवतात. २०१० च्या तिसर्या तिमाहीपासून मायक्रोसॉफ्टने १२ महिन्यांच्या कालावधीत अंदाजे २ 2010..6.9 दशलक्ष शोषण प्रयत्नांसह, प्रत्येक तिमाहीत अंदाजे 27.5..12 दशलक्ष जावांचे शोषण प्रयत्न शोधले किंवा अवरोधित केले आहेत.
एकूणच, जगात 3 अब्ज साधने जावा वापरतात आणि 80% ब्राउझर वापरतात. दरम्यान, काही अत्यंत सुरक्षिततेचे जाणकार वापरकर्ते खबरदारी म्हणून यास संपूर्णपणे अक्षम किंवा विस्थापित करीत आहेत.
या आठवड्यात व्यापकपणे लोकप्रिय ओपन सोर्स मॅटस्प्लोइट इन्ट्रिशन टेस्टिंग टूलच्या विकसकांनी ओरेकलच्या जावा अंमलबजावणी, गेंड्यात नुकत्याच झालेल्या पॅच असुरक्षाचा गैरवापर करणार्या नवीनतम जावा हल्ल्यासाठी नवीन मॉड्यूल जोडले. ओरॅकल जावा एसई जेडीके आणि जेआरई 7 आणि 6 अपडेट 27 आणि पूर्वीच्या आवृत्तीतील त्रुटी, जी सुरुवातीला संशोधकांनी जाहीर केली होती येथे y येथे ब्लॉगर ब्रायन क्रेब्सने शोधून काढले आणि म्हणूनच भूमिगत गुन्हेगारीच्या किटचा पटकन परिणाम झाला आपली वेबसाइट. क्रेब्स ऑन सिक्युरिटीने असा अहवाल दिला की हा हल्ला ब्लॅकहोल क्राइमवेअर किटमध्येही चालविला जात होता.
«जावा जिथे पाहिजे तेथे आहे आणि कोणीही ते योग्यरित्या अद्यतनित करत नाहीRap एचडी मूर म्हणतात, रॅपिड 7 येथील मेटास्प्लाइट आणि सीएसओसाठी निर्माता आणि मुख्य आर्किटेक्ट. «खूप कमी कंपन्या आपल्या संगणकावर हे अद्यतनित करतात.»
“ओरॅकल जावासाठी स्वयं-अद्यतन वैशिष्ट्य ऑफर करतो, परंतु संगणकाच्या वापरासाठी प्रशासकीय विशेषाधिकारांची आवश्यकता असते, ज्यास बहुतांश कंपन्या परवानगी देत नाहीत."मूर म्हणतो.
मायक्रोसॉफ्टचे ट्रस्टेड कम्प्युटिंगचे संचालक टिम रॅन्स यांनी या आठवड्याच्या सुरूवातीला ओरेकलच्या जावा सॉफ्टवेअरमधील पॅग्ज बगवर कित्येक महिने वेढा घातला आहे. «ओरॅकलच्या जावा सॉफ्टवेअरमधील असुरक्षा वर बर्याच महिन्यांपासून तुलनेने मोठ्या प्रमाणात हल्ले होत आहेत आणि जसे मी नमूद केले आहे की या असुरक्षांसाठी सुरक्षा अद्यतने काही काळासाठी उपलब्ध आहेत.Rain म्हणतो पाऊस. «जर आपण अलीकडे आपल्या वातावरणात जावा अद्यतनित केला नसेल तर आपण उपस्थित जोखमींचे मूल्यांकन केले पाहिजे. इतर गोष्टींबरोबरच, संस्थांना हे जाणीव असणे आवश्यक आहे की त्यांच्याकडे जावा चालू असलेल्या अनेक आवृत्त्या असू शकतात.", तो म्हणतो.
ओरॅकलचा जावा दोष, मागील महिन्यात ओरॅकलने पॅच केला होता, मुळात जावा अॅपलेटला जावा सँडबॉक्सच्या बाहेर अनियंत्रित कोड चालविण्यास अनुमती देते. रॅपिड's चा मूर म्हणतो की तथाकथित जावा गेंडा शोषण (जे विंडोज, आयओएस आणि लिनक्ससह एकाधिक प्लॅटफॉर्मवर कार्य करते) पार्श्वभूमीवर उद्भवते आणि त्या शोषणाच्या वापरकर्त्याने बेशुद्ध केले. विशेष म्हणजे, लिनक्स आक्रमण करण्याच्या बाबतीत अधिक असुरक्षित आहे. «ओरॅकलने ते ठोकले आणि Appleपलने सॉफ्टवेअर अपडेटची मागणी केली. पण बहुतेक विक्रेते लिनक्स प्रदाते ?? अद्यतने आवश्यक नाहीत"मूर म्हणतो.
बहुधा एक्जीक्यूटेबल फाईल डाउनलोड करण्यासाठी किंवा बॉट स्थापित करुन मल्टी-स्टेज अटॅकमध्ये हा पहिला टप्पा म्हणून वापरला जातो.
क्वालिक्सचे सीटीओ वुल्फगँग कांडेक म्हणतात की नवीनतम शोषणास पाठिंबा देणारी टेनिअर मेटास्प्लाइट कालबाह्य जावा अॅप्सच्या धोक्याबद्दल जागरूकता वाढविण्यास मदत करेल. «मेटास्प्लोइटवर असण्याचे फायदे म्हणजे छान लोक हे [आक्रमण] कसे कार्य करतात हे दर्शवू शकतात", तो म्हणतो.
ते म्हणतात की क्वॉलिसच्या ग्राहक डेटावरील जावा अॅप्स चालणार्या बर्याच संस्थांमध्ये मोठ्या कंपन्या असल्याचे ते म्हणतात. «जावा पॅच करण्यासाठी चांगल्या प्रक्रिया न करण्याची प्रवृत्ती आहे. तो रडारखाली उडतो", तो म्हणतो.
---- आणि येथे लेख संपतो.
निःसंशयपणे, यापूर्वी आपण ज्याचा उल्लेख केला आहे त्याशी याचा बरेच काही आहे ... म्हणजे काय याबद्दल कॅनॉनिकल त्याच्या रिपॉझिटरीजमध्ये ओरॅकलकडून जावा ऑफर करणे थांबवेल (उबंटू, कुबंटू, जुबंटू, इ), अगदी स्पष्टपणे, होय ओरॅकल अद्यतनांचा समावेश करण्याची अनुमती देत नाही, हे त्यास उपयुक्त नाही, कारण उपरोक्त केलेल्या हल्ल्यांसाठी वापरकर्ता खूपच असुरक्षित असेल.
असं असलं तरी, आपणास याबद्दल काय वाटते? 😉
कोट सह उत्तर द्या
PD: कालच मी माझ्या नोकिया एन 70 वर लिनक्स कसे स्थापित करणे शक्य आहे याबद्दलचे ट्यूटोरियल वाचत होतो, मी अद्याप एलओएल करण्याचा निर्णय घेतला नाही !!!
मी बर्याच दिवसांपासून आयस्टीटा (ओपनजेडीके, विनामूल्य) वापरत आहे आणि मी जवळजवळ नेहमीच हे अक्षम केले आहे कारण मी केवळ वापरत नाही ...
माझ्याकडे ओपनजेडीके वापरुन जवळजवळ months महिने आहेत, मला जावामधील सुरक्षा दोष काय माहित नाही, लिबरऑफिस कसे कार्य करते हे पाहण्यासाठी मी ते बदलले 😛
मला माहित आहे की हे जवळजवळ ऑफटॉपिक आहे परंतु… नोकियावरील लिनक्स? म्हणून? मी माझ्या 5800 पैकी m___ प्रतीकात्मक घेऊ शकलो तर मला आनंद होईल!
तुम्हाला माहित आहे काय की सिम्बियन हा लिनक्सचा पहिला चुलत भाऊ अथवा बहीण आहे? 😀
तथापि, मी अद्याप नोकियावर या लिनक्सबद्दल पुरेशी माहिती वाचत नाही ... काळजी करू नका, जेव्हा मला काही सभ्य माहिती मिळेल तेव्हा मी आपल्याला दुवे देईन 😉
केझेडकेजी ^ गारा… मला त्रास देऊ नका परंतु… भाषांतरात काही त्रुटी आहेत, उदाहरणार्थः
१ .- «… जावा बनवित आहेत ब्लॅक हॅट हॅकरची निवड उशीरा» असावी «.. अलीकडील ते जावा दुर्भावनायुक्त हॅकर्सची निवड करतात»
२- इंग्रजीतील "विक्रेता" चा अर्थ "सप्लायर" ("सप्लायर") असा होतो म्हणून "परंतु बहुतेक लिनक्स विक्रेते ..." हा शब्द कोणत्याही अडचणीशिवाय राहतो "परंतु बहुतेक लिनक्स विक्रेते ..."
कोट सह उत्तर द्या
नाही काही नाही Nah
हे खरोखर मला त्रास देत नाही, मी व्यावसायिक अनुवादक नाही, एलओएल खूपच कमी !!!
मी आत्ताच ते ठीक करतो 😉
खरोखर, तुमचे आभार, इंग्रजी समजणे मला अवघड नाही, माझ्यासाठी जे काही क्लिष्ट आहे ते ते लिहित आहे आणि स्पॅनिश भाषेत ऑर्डर करीत आहे 😀
कोट सह उत्तर द्या
🙂
स्पॅनिशबरोबरही माझ्या बाबतीत असेच घडते; स्थानिक अभिव्यक्ती असलेली वाक्ये मला समजणे कठीण आहे. ते कमीतकमी काही तरी तरी माझ्यापासून बचावतात.
"ब्लॅक हॅट हॅकर" ही दुर्भावनापूर्ण हॅकर नियुक्त करण्यासाठी वापरली जाणारी अभिव्यक्ती आहे आणि स्पॅनिशमध्ये भाषांतर करणे निश्चितच एक गडबड आहे.
अभिवादन आणि जोरदार मिठी
मला माहित नाही परंतु मला ठाऊक आहे की आरएई शब्दकोषात "सचेत" दिसत नाही.
आमच्याकडे टिटो मार्क आणि त्याचे गुन्हेगार सारखे लिनक्स विक्रेते देखील आहेत
चला पाहूया ... माझा लॅपटॉप मेड इन चाइना आहे, परंतु क्वालिटी कंट्रोल एचपीची बी मालिका आहे, म्हणजे ... हे घटक चीनमध्ये तयार केले जातात (स्वस्त मजूर ...) परंतु कोणकोणते घटक पुरेसे चांगले आहेत हे कोण ठरवते निर्माता is
"ओरॅकल जावासाठी स्वयं-अद्यतन वैशिष्ट्य ऑफर करतो, परंतु संगणकाचा वापर करण्यासाठी प्रशासकीय विशेषाधिकारांची आवश्यकता आहे, ज्यास बहुतांश कंपन्या परवानगी देत नाहीत"
"जावा पॅच करण्यासाठी चांगल्या प्रक्रिया न करण्याचा ट्रेंड आहे."
तर समस्या जावाची नाही परंतु ती अद्ययावत करण्याची वापरकर्त्यांना सवय नाही, आहे का?
प्रामाणिकपणे, जावाची समस्या ही सुरक्षितता आहे, जर आपण याची तुलना फ्लॅशशी केली तर ते 20 पट अधिक सुरक्षित जावा आहे, ही समस्या ही आहे जी रेंगाळणारी भाषा आहे. हे जाणून घेण्यासाठी मादक आहे परंतु ते एक वाईट स्वप्न आहे LOL!
मला म्हणायचे होते * इतकी सुरक्षा नाही *
बर्याच वेळा आम्हाला शक्यता देखील दिली जात नाही, ओरेकल त्याच्या निर्बंधांसह.
माझ्या भागासाठी मी ओपनजेडीके वापरत आहे, आणि आतापर्यंत कोणत्याही तक्रारी नाहीत 🙂
मी सूर्य-जावा विस्थापित करण्यासाठी आणि डीफॉल्टकडे परत जाण्याचा प्रयत्न केला आणि शेवटी… मी सोडले.
खरं म्हणजे जावा बराच काळ पूर्वी चांगला पर्याय होता आता तो बरीच समस्या आहे 🙁
मेक्सिकोमधील अवलंबनांपैकी एक म्हणजे सॅट आणि आयएमएसएस, जे आपल्याला हे सुनिश्चित करते की आपल्याला 3 वर्षांपेक्षा जास्त जुन्या आवृत्त्या वापराव्या लागतील कारण आपण त्यांचे पोर्टल प्रविष्ट करू शकत नसल्यास.
मी मुख्यत: प्रशासकीय वापरकर्त्यांसमवेत काम करतो आणि ते कधीही काहीही अद्यतनित करत नाहीत आणि ते अनेक सरकारी कार्यक्रमांसाठी जावा वापरतात आणि त्यासाठी मोठ्या असुरक्षा समाविष्ट असलेल्या विशिष्ट आवृत्त्यांची आवश्यकता असते, हा देखील विषय आहे की आयएमएसएस आणि मेक्सिकोमधील एसएटीसारख्या संस्थांनी अधिक गंभीरपणे घेतले पाहिजे आणि आपले अनुप्रयोग ठेवा आणि यापुढे अशा समस्यांसह 2004 मध्ये तयार केलेले सॉफ्टवेअर वितरित करत नाही
बरं, मी सूर्य-जावा बर्याच काळासाठी वापरला आहे आणि सत्य हे आहे की मला नेहमीच हवे असलेले निकाल लागतात आणि पारंपारिकच्या पलिकडे जाऊनही मला कोणतीही तक्रार नसते. विकासासाठी ओपनजेडीक असे नाही की मी कोणालाही शिफारस करतो असे मला वाटले तरी ते माझे निकष आहेत. चीअर्स