This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Facebook владеет вверх, - признается сети нарушена, обвиняет "Java в браузере"

Filed Under: Facebook, Featured, Privacy, Vulnerability

Там есть сцена в фильме Социальная сеть , где Марк Цукерберг спорит с Эдуардо, его финансовый директор.

Эдуардо просто заморожен банковский счет Facebook.

План состоит в том, чтобы привлечь внимание Цукерберга и попытаться получить Zuck назад о том, что Эдуардо думает, прямые и узкие.

Но Цукерберг разгневанный.

Он думает, что может в конечном итоге с неоплаченные счета и, таким образом сбоя в работе сети, и что не будет делать!

Зак тирады:

Позвольте мне рассказать вам разницу между Facebook и всем остальным: мы не катастрофа EVER!

Это только в кино, конечно.

В реальной жизни это не так, что Facebook никогда не выходит из строя, но если учесть его размер и онлайн-активности она поддерживает, проведенное на сайте Facebook и доступности является удивительным. Stellar. Межгалактический, даже.

Фильм версии Цукерберг продолжает объяснять:

Если серверы находятся внизу даже на день, вся наша репутация была необратимо уничтожена. Пользователи имеют непостоянный ... Даже несколько человек, оставив будет ощущаться по всей пользовательской базы.

Но то, что о том, чтобы принадлежащие хакерам?

Какой эффект вы думаете, что может иметь?

Если вы крупнейшей социальной сетью в мире, и если сбора, хранения и использования личной информации других людей ваш хлеб с маслом?

Держите лошадей, потому что мы собираемся выяснить.

Facebook только что опубликовал статью под названием Защита людей на Facebook , и она не покрывает то, что вы может показаться на первый ожидать, когда вы видите название.

Конечно, она начинает достаточно оптимистично:

Facebook, как и всякое значительное интернет-сервис, часто мишенью для тех, кто хочет нарушить или получить доступ к нашим данным и инфраструктуры. Таким образом, мы инвестируем значительные средства в предотвращение, выявление и реагирование на угрозы, которые нацелены нашу инфраструктуру, и мы никогда не прекращаем работу, чтобы защитить людей, которые используют наш сервис.

Но это следует намек, что будет дальше:

В подавляющем большинстве случаев, мы добьемся успеха в предотвращении вреда, прежде чем это произойдет, и наша служба безопасности работает быстро и эффективно расследовать и остановить насилие.

И тогда эффект разорвавшейся бомбы. Ладно, на самом деле не эффект разорвавшейся бомбы. Давайте быть честными и сказать, что это на самом деле довольно откровенное признание, для которых компания заслуживает, по крайней мере поклон уважения:

В прошлом месяце Facebook Security обнаружили, что наша система была нацелена сложные атаки. Эта атака произошла, когда несколько сотрудников посетила мобильный веб-сайт разработчика, которая была нарушена. Взломанного веб-сайта состоялась подвиг, который затем позволил вредоносного ПО быть установлены на этих переносных компьютерах сотрудников.

Позже в статье, Facebook утверждает, что он "не нашел доказательств того, что данные пользователей Facebook была взломана», а и для чего это стоит, я готов признать, что претензии.

Преступники были Java нулевого дня в их распоряжении, и этот подвиг пусть проникнуть сети Facebook и придать вредоносных программ.

Но компания говорит, что это было полностью пропатченный и анти-virused, и это звучит так, как будто вредоносных программ, которые последовали за подвиг был быстро замечен и очищены, без прочного вреда.

Только одно предложение разработчиков Facebook: почему бы не читал Naked Security?

Мы дали вам множество веских причин, чтобы отключить Java в Вашем браузере , начиная с середины прошлого года.

Это само по себе может иметь побочные шагнул этой проблемы.

Даже только с помощью браузера с мыши-игры (так что Java и флэш-апплеты, в частности, не может запустить в фоновом режиме со взломанных веб-сайтов), несомненно, было достаточно.

Я предполагаю, но я был бы очень удивлен, если мобильный веб-сайт разработчика упоминалось выше фактически требуется Java, так что не было бы никаких причин, чтобы иметь включен Java для этого сайта.

Кроме того, мобильный веб-сайт разработчика могли бы считаться использованием исходящего Интернет или пакетной фильтрации для блокирования выхода из апплетов Java, если, конечно, его сайт никогда не должны служить им в первую очередь.

→ IPS технологии, как правило, рассматриваться как способ держать плохих парней, не в последнюю очередь потому, что она стоит на системы предотвращения вторжений. Но самое приличное IPSes работать в двух направлениях, и может действовать как эффективный EPSes или эвакуации превенторов, тоже. Вы фильтров электронной почты для спама в обоих направлениях (не так ли?), Потому что вы можете, и потому, что это имеет смысл. То же самое касается сетевого трафика в целом. Если плохие парни уже получили, вы можете также остановить их получить обратно, как хорошо!

Сказав все это, он остается для меня спросить. Вы отключили Java в Вашем браузере, не так ли?

Если нет, то вот, пожалуйста: Как отключить Java в Вашем браузере .

И не бойтесь, что вы будете ломать JavaScript: Java не JavaScript .

PS Если кто-то из Facebook читает это. Защита людей на статью Facebook наводнен спамом в комментариях на довольно одиозная и оскорбительными рода. (По крайней мере, это было, когда я смотрел последний.) Это может быть хорошей идеей, чтобы удалить его, видя, как популярная статья, вероятно, будет, и что по крайней мере некоторые из посетителей будет беспокоиться, даже прежде, чем они есть.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog